Ich stelle mal einen Fundsplitter hier in den Blog, der mir bereit vor einigen Tagen unter die Augen gekommen ist. Es geht um das Problem, dass sich seit dem Februar 2024-Update unter Windows 10 keine Änderungen für Web-Protokolle über API-Aufrufe mehr durchführen lassen. Dies wird aber gebraucht, um ggf. andere Anwendungen für die Behandlung von URL-Aufrufen registrieren zu können. Es sieht so aus, als ob das Februar 2024-Update KB5034763 das Problem darstellt.
Windows 10-Update KB5034763
Das kumulative Update KB5034763 steht seit dem 13. Februar 2024 für Windows 10 Version 21H1-22H2 zur Verfügung und soll verschiedene Sicherheitsprobleme in Windows beheben. Ich hatte im Beitrag Windows Schwachstelle CVE-2024-21412: Angriffe der APT-Gruppe Water Hydra auf eine solche Schwachstelle hingewiesen.
Das Update selbst wurde von mir im Blog-Beitrag Patchday: Windows 10-Updates (13. Februar 2024) beschrieben. Dort ist auch erwähnt, dass Microsoft ein Problem im Bereich Metadaten für Geräte behoben haben wir, welches downloads von den Windows Metadata and Internet Services (WMIS) über HTTPS sicherer macht.
Probleme mit URL-Protokoll-Handler-Änderungen
Mir ist in diesem Zusammenhang dann nachfolgender Tweet von Christoph Kolbicz unter die Augen gekommen. Christoph hat mehrere Berichte erhalten, dass SetUserFTA und SetDefaultBrowser http/s-Assoziationen nach den neuesten Windows 10 Updates nicht mehr funktionieren.
Der Hintergrund, warum man das braucht: Will ein Drittanbieter-Dienstprogramm die URL-Aufrufe verwenden oder als Standardbrowser fungieren, muss es die entsprechenden Zuordnungen für die URL-Protokolle anpassen. Ich hatte oben den Blog-Beitrag von Kobicz verlinkt – von Andreas Schreiner gibt es ebenfalls einen Blog-Beitrag Konfiguration von User FTAs in Citrix WEM mit SetUserFTA.exe, der beschreibt, wie man mit dem Dienstprogramm die File Type Associations (FTAs) ändern kann.
Und genau das scheint seit dem Februar 2024-Patchday nicht mehr zu funktionieren – so meine Interpretation der obigen Tweets. Kolbicz schreibt, dass er selbst das Problem noch nicht reproduzieren könne, aber immer erwartet habe, dass Microsoft diesen Schritt macht. Es sieht so aus, als wäre das Windows 10 Update KB5034763 der Übeltäter. Dieses Update beschränkt den Registrierungszugriff auf den Registrierungszweig:
HKCU\SOFTWARE\Microsoft\Windows\Shell\Associations\UrlAssociations\
für die Einträge http und https – das gelte sogar für den Registrierungseditor Regedit. Andere Protokolle und Dateitypen scheinen nicht betroffen zu sein, schreibt Kolbicz. Wer mit einem Standardbrowser arbeitet und diesen konfiguriert hat, bei dem bleibt die Zuordnung erhalten. Aber Drittanbieter-Dienstprogramme, die den Eintrag ändern möchten, werden blockiert. Das dürfte in nicht-persistente/VDI-Umgebungen eine leichte Katastrophe werden, schreibt ein anderer Nutzer. So, wie ich die Tweets verfolgt habe, scheint der Effekt recht vertrackt zu sein – falls es in dieser Richtung hakt, könnte es an obigem Thema liegen.
Ähnliche Artikel:
Microsoft Security Update Summary (13. Februar 2024)
Patchday: Windows 10-Updates (13. Februar 2024)
Windows Schwachstelle CVE-2024-21412: Angriffe der APT-Gruppe Water Hydra
Moin.
Ich kann zumindest bestätigen, dass es mit SetUserFTA auf einem frisch installierten Windows 10 Client mit aktuellem Patchstand nicht mehr möglich ist, den Standard Browser auszutauschen. Ob das Update KB5034763 daran Schuld ist, oder es schon vorher nicht mehr funktionierte, kann ich leider nicht sagen.
Ich hoffe doch sehr, dass der Herr Kolbicz dafür eine Lösung findet. Den grausigen Edge als Standardbrowser will ich meinen Usern nicht antun.
Danke Microsoft! Ein weiterer Schritt weg von einem zentral verwaltbaren System – solange „zentral verwaltet“ nicht Entra ID bedeutet…
Und wieder mal eine dreckige Frechheit von Microsoft, den User zu gängeln. Sowas sollte gesetzlich verboten sein. Von Herrn Kolbicz habe ich einen Patch erhalten, den man einspielen muss (als Administrator) und dann den Rechner neustarten. Er ist dran, das ganze Tool upzudaten, aber wenn das nur über eine Registry-Änderung als Admin + Neustart wieder klappt, kann man es vergessen, das war ja nicht Sinn der Sache. Eine Änderung ohne erhöhte Rechte und ohne Neustart ist gewünscht. Momentan kann man nur über ein Makro (Simulieren von Tasten) automatisiert den Browser-Standard anpassen. Dies klappt zwar gut, aber wenn Windows das Menü wieder ändert, muss man auch das Makro bzw. Script anpassen.
Christoph Kolbicz hat eine Analyse zu dem Thema durchgeführt, wie und warum das Ändern nicht mehr möglich ist: https://kolbi.cz/blog/2024/04/03/userchoice-protection-driver-ucpd-sys/?sfw=pass1712589031
Deaktivierung eines Treibers und eines geplanten Tasks lösen das Problem wohl, solange M$ da nicht wieder was ändert.
Hallo,
das gleiche Tool (SetUserFTA) setzen wir ein um von Edge auf Adobe zu bei .pdf zu wechseln.
Geht nun aber auch nicht mehr.
Selbst mit dem Reg-Editor kann ich keine Änderungen mehr unter Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf\UserChoice
eintragen!
Microsoft will uns zwingen den EDGE als PDF-Viewer zu verwenden.
Fehlermeldung:
error: could not create registry key
error: could not open registry key