Meiner Beobachtung und Recherchen nach d\u00fcrfte dieser Treiber beginnend ab J\u00e4nner 2024 bis M\u00e4rz 2024 in Wellen ausgerollt und aktiviert worden sein. Mittlerweile d\u00fcrfte dieser zumindest auf allen „europ\u00e4ischen“ Windows 10 & 11 Systemen vorhanden und aktiv sein.<\/p>\n\n\n\n
Pr\u00fcfung ob der „UserChoice Protection Driver“ vorhanden ist bzw. l\u00e4uft:<\/h3>\n\n\n\nC:\\>sc query ucpd<\/strong>\n\nSERVICE_NAME: ucpd\n TYPE : 2 FILE_SYSTEM_DRIVER\n STATE <\/strong>: 4 RUNNING<\/strong>\n (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)\n WIN32_EXIT_CODE : 0 (0x0)\n SERVICE_EXIT_CODE : 0 (0x0)\n CHECKPOINT : 0x0\n WAIT_HINT : 0x0<\/code><\/pre>\n\n\n\nPr\u00fcfung der Dienst-Konfiguration von UCPD … Start Type: SYSTEM_START (1)<\/strong><\/code><\/p>\n\n\n\nC:\\>sc qc ucpd<\/strong>\n[SC] QueryServiceConfig ERFOLG\n\nSERVICE_NAME: ucpd\n TYPE : 2 FILE_SYSTEM_DRIVER\n START_TYPE : 1 SYSTEM_START<\/strong>\n ERROR_CONTROL : 1 NORMAL\n BINARY_PATH_NAME : system32\\drivers\\UCPD.sys\n LOAD_ORDER_GROUP : FSFilter Activity Monitor\n TAG : 0\n DISPLAY_NAME : UCPD\n DEPENDENCIES :\n SERVICE_START_NAME :<\/code><\/pre>\n\n\n\nAuswirkungen am Beispiel SetUserFTA.exe<\/h3>\n\n\n\n
Dieser Filter-Treiber unterbindet, dass Software die nicht von Microsoft stammt schreibend auf diverse „UserChoice“ Registry-Keys zugreifen k\u00f6nnen, ein Process-Monitor zeigt: ACCESS-DENIED.<\/p>\n\n\n\n
Beispiel: Das popul\u00e4re SetUserFTA-Tool von Christoph Kolbicz<\/a> in bew\u00e4hrter Version 1.7 kann nun nicht mehr wie gewohnt zur Konfiguration des Default-PDF-Readers verwendet werden. Process-Monitor zeigt Access-Denied<\/strong> (obwohl die Rechte hierf\u00fcr eigentlich unver\u00e4ndert vorhanden w\u00e4ren):<\/p>\n\n\n\n![\"UCPD](\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/UCPD_SetUserFTA-ProcMon-Access-Denied.png\")
<\/a><\/figure>\n\n\n\nWie funktioniert dieser Filter-Treiber?<\/h2>\n\n\n\n
Der UCPD Filter-Treiber f\u00fcgt sich auf einer definierten „Altitude“ („H\u00f6he“)<\/a> in das Gef\u00fcge der Microsoft (bzw. Dritthersteller-) Filter-Treiber ein, dies kann z.B. wie folgt gepr\u00fcft werden:<\/p>\n\n\n\nC:\\>fltMC.exe filters<\/strong>\n\nFiltername Anzahl von Instanzen H\u00f6he Frame\n----------------------------- -------------------- ---- -----\nbindflt 1 409800 0\nFsDepends 13 407000 0\nUCPD 15 385250.5 0<\/strong>\nPROCMON24 4 385200 0\nWdFilter 15 328010 0\nstorqosflt 2 244000 0\nwcifs 3 189900 0\nCldFlt 4 180451 0\nFileCrypt 0 141100 0\nluafv 1 135000 0\nnpsvctrig 1 46000 0\nWof 12 40700 0\nFileInfo 15 40500 0<\/code><\/pre>\n\n\n\nDen vollen Namen eines Filter-Treibers ermittelt man auf der CmdLine am schnellsten mittels „sc qc <DienstName><\/code>„:<\/p>\n\n\n\n\n- bindflt … Windows Bind Filter Driver \/ FSFilter Top<\/li>\n\n\n\n
- FsDepends … File System Dependency Minifilter \/ FSFilter Top<\/li>\n\n\n\n
- UCPD … User Choice Protection Driver \/ FSFilter Activity Monitor<\/strong><\/li>\n\n\n\n
- PROCMON24 … SysInternals Process Monitor<\/li>\n\n\n\n
- WdFilter … Microsoft Defender Antivirus-Minifiltertreiber \/ FSFilter Anti-Virus<\/li>\n\n\n\n
- storqosflt … QoS-Filter f\u00fcr Speicher \u2013 Treiber \/ FSFilter Quota Management<\/li>\n\n\n\n
- wcifs … Windows Container Isolation \/ FSFilter Virtualization<\/li>\n\n\n\n
- CldFlt … Windows Cloud Files Filter Driver \/ FSFilter HSM<\/li>\n\n\n\n
- FileCrypt … FileCrypt \/ FSFilter Encryption<\/li>\n\n\n\n
- luafv … UAC-Dateivirtualisierung \/ FSFilter Virtualization<\/li>\n\n\n\n
- npsvctrig … Named pipe service trigger provider<\/li>\n\n\n\n
- FileInfo … File Information FS MiniFilter \/ FSFilter Bottom<\/li>\n<\/ul>\n\n\n\n
Welche Registry-Zugriffe unterbindet UCPD?<\/h3>\n\n\n\n
Praktische Tests und De-Assemblierung\/De-Kompilierung sowie String-Analyse zeigen, dass augenscheinlich L\u00f6sch- und Schreib-Operationen auf folgende Registry-Keys derzeit unterbunden werden:<\/p>\n\n\n\n
# SetProtectRuleOnStart Funktion setzt offenkundig Filter f\u00fcr folgende HKCU Registry-Keys:<\/strong>\nSoftware\\Microsoft\\Windows\\Shell\\Associations\\UrlAssociations\\http\\UserChoice\nSoftware\\Microsoft\\Windows\\Shell\\Associations\\UrlAssociations\\http\\UserChoiceLatest\nSoftware\\Microsoft\\Windows\\Shell\\Associations\\UrlAssociations\\http\\UserChoicePrevious\nSoftware\\Microsoft\\Windows\\Shell\\Associations\\UrlAssociations\\https\\UserChoice\nSoftware\\Microsoft\\Windows\\Shell\\Associations\\UrlAssociations\\https\\UserChoiceLatest\nSoftware\\Microsoft\\Windows\\Shell\\Associations\\UrlAssociations\\https\\UserChoicePrevious\nSoftware\\Microsoft\\Windows\\CurrentVersion\\Explorer\\FileExts\\.pdf\\UserChoice\nSoftware\\Microsoft\\Windows\\CurrentVersion\\Explorer\\FileExts\\.pdf\\UserChoiceLatest\nSoftware\\Microsoft\\Windows\\CurrentVersion\\Explorer\\FileExts\\.pdf\\UserChoicePrevious\n\n# Nachtrag vom 08.04.2024: Auch die DeviceRegion ist von UCPD gesch\u00fctzt:\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Control Panel\\DeviceRegion\\DeviceRegion<\/code><\/pre>\n\n\n\nWelche Prozesse werden blockiert, bzw. welche Prozesse d\u00fcrfen noch zugreifen?<\/h3>\n\n\n\n
Hier wird offenbar wie folgt vorgegangen: Es wird gepr\u00fcft, ob es sich um ein Microsoft signiertes, zum Windows-Betriebssystem geh\u00f6rendes File handelt, und dieses darf nicht auf der „DenyList“ stehen:<\/p>\n\n\n
\n![\"UCPD](\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/UCPD_IsMicrosoftSignedFile-Function.png\")
<\/a><\/figure>\n<\/div>\n\n\nOb es sich um ein Microsoft-signiertes File handelt wird offenbar wie folgt gepr\u00fcft:<\/p>\n\n\n
\n![\"UCPD](\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/UCPD_IsMicrosoftSignedFileDetails-Function.png\")
<\/a><\/figure>\n<\/div>\n\n\nUnd hierf\u00fcr allzu leicht geeignete Werkzeuge sind \u00fcber eine DenyList ausgeschlossen:<\/p>\n\n\n
\n![\"UCPD](\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/UCPD_IsInDenyList-Function.png\")
<\/a><\/figure>\n<\/div>\n\n\nKonkret handelt es sich hierbei in der mit M\u00e4rz 2024 aktuellen UCPD.sys Version um folgende Microsoft Windows Prozesse:<\/p>\n\n\n\n
# IsInDenyList Prozesse<\/strong>\n*\\dllhost.exe\n*\\reg.exe\n*\\rundll32.exe\n*\\powershell.exe\n*\\regedit.exe\n*\\wscript.exe\n*\\cscript.exe<\/code><\/pre>\n\n\n\nL\u00e4sst sich der UserChoice Protection Driver deaktivieren?<\/h2>\n\n\n\n
Ja, allerdings nicht im laufenden Betrieb – dies wird verweigert (bzw. dies ist im Filter-Treiber nicht implementiert). Zur Deaktivierung muss daher die Startart auf „Deaktiviert“ konfiguriert und Windows anschlie\u00dfend neu gestartet werden. Danach l\u00e4uft der Treiber nicht mehr:<\/p>\n\n\n\n
C:\\>sc config UCPD start= disabled<\/strong>\n[SC] ChangeServiceConfig ERFOLG\n\nC:\\>sc qc UCPD<\/strong>\n[SC] QueryServiceConfig ERFOLG\n\nSERVICE_NAME: UCPD\n TYPE : 2 FILE_SYSTEM_DRIVER\n START_TYPE : 4 DISABLED<\/strong>\n ERROR_CONTROL : 1 NORMAL\n BINARY_PATH_NAME : system32\\drivers\\UCPD.sys\n LOAD_ORDER_GROUP : FSFilter Activity Monitor\n TAG : 0\n DISPLAY_NAME : UCPD\n DEPENDENCIES :\n SERVICE_START_NAME :<\/code><\/pre>\n\n\n\nOK, Deaktivieren klappt – aber der Treiber reaktiviert sich wieder!<\/h3>\n\n\n\n
Ja, diese Beobachtung ist korrekt. Microsoft hat einen TaskPlaner-Job Namens „Microsoft \\ Windows \\ AppxDeplomentClient \\ UCPD velocity<\/strong>“ hinterlegt, der nach jeder Benutzer-Anmeldung und 10min Idle-Time des System durch Aufruf des „UCPDMgr.exe<\/strong><\/code>“ den Treiber wieder rekonfiguriert. Achtung: Dieser TaskPlaner-Job ist nur mit Administrator-Rechten (nicht mit User-Rechten) sichtbar! <\/p>\n\n\n\n![\"\"](\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/UCPD_TaskPlaner-UCPD-Velocity.png\")
<\/a><\/figure>\n\n\n\nUm eine Reaktivierung von UCPD zu verhindern muss also auch dieser TaskPlaner-Job deaktiviert werden:<\/p>\n\n\n\n
C:\\>schtasks.exe \/change \/Disable \/TN \"\\Microsoft\\Windows\\AppxDeploymentClient\\UCPD velocity\"<\/strong>\nERFOLGREICH: Die Parameter der geplanten Aufgabe \"\\Microsoft\\Windows\\AppxDeploymentClient\\UCPD velocity\" wurden ge\u00e4ndert.<\/code><\/pre>\n\n\n\nUCPDMgr.exe pr\u00fcft und korrigiert offenkundig folgendes:<\/h3>\n\n\n\n\n- Start-Art des Dienstes „SYSTEM_START“ … wenn nicht korrekt wird diese Konfiguration hergestellt<\/li>\n\n\n\n
- Wert des Registry-Keys HKLM\\SYSTEM\\CurrentControlSet\\Services\\UCPD\\FeatureV2 … wird auf „2“ konfiguriert sofern nicht gesetzt.<\/li>\n\n\n\n
- L\u00e4uft der Dienst? Wenn nein wird dieser gestartet. Ein Starten des Filter-Treibers ist jederzeit im laufenden Betrieb m\u00f6glich, ein Beenden hingegen nicht – hierf\u00fcr muss wie oben bereits erl\u00e4utert die Startart auf DISABLED konfiguriert und Windows neu gestartet werden.<\/li>\n<\/ul>\n\n\n\n
Registry: HKLM\\SYSTEM\\CurrentControlSet\\Services\\UCPD => \"FeatureV2\" => \"2\"<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/UCPD_Service-Registry.png\")
<\/a><\/figure>\n\n\n\nWas hat es mit „FeatureV2“ auf sich?<\/h3>\n\n\n\n
Offenbar besteht mittels des „FeatureV2<\/code>“ Setting die M\u00f6glichkeit den Filter-Treiber in einen nicht-wirksamen Modus zu schalten. Getesteter Weise wird auch bei gestartetem Filter-Treiber und „FeatureV2<\/code>“ Wert „0<\/code>“ kein Zugriff blockiert, w\u00e4hrend mit Wert „2<\/code>“ sich der Filter-Treiber blockierend wie beschrieben verh\u00e4lt.<\/p>\n\n\n\nAchtung: Dieser FeatureV2<\/code> Wert wird nur beim Filter-Treiber-Start ausgelesen, eine \u00c4nderung bedingt zum Test also einen Neustart von Windows.<\/p>\n\n\n\nGibt es M\u00f6glichkeiten den Filter-Treiber zu umgehen?<\/h2>\n\n\n\n
Ja<\/strong>, neben der Deaktivierung bestehen zahlreiche Schlupfl\u00f6cher wie der Filter-Treiber umgangen werden kann … aber dies zu behandeln ist vorerst nicht Teil dieses Blog-Posts.<\/p>\n\n\n\nWozu macht Microsoft das?<\/h2>\n\n\n\n
Nun ja, dar\u00fcber kann man – in Ermangelung von Dokumentation seitens Microsoft – nur spekulieren. Best Guess:<\/p>\n\n\n\n
\n- Um zu verhindern, dass Software wie z.B. Adobe Reader, Firefox, Chrome sich selbst als „Default-Anwendung“ konfigurieren kann.<\/li>\n\n\n\n
- Um zu verhindern, dass Administratoren mit Tools wie z.B. SetUserFTA.exe das System f\u00fcr den Benutzer passend vorkonfigurieren bzw. gescriptet rekonfigurieren.<\/li>\n\n\n\n
- Um damit Auflagen der EU betreffend „U<\/strong>nfair C<\/strong>ommercial P<\/strong>ractices D<\/strong>irective“ (man beachte, dass diese EU-Richtlinie ebenfalls die Abk\u00fcrzung UCPD<\/strong> tr\u00e4gt!) umzusetzen … und zwar vermutlich in einer Art und Weise, die es nur noch dem Benutzer interaktiv mittels Wizzard bzw. Explorer erlaubt diese Auswahl welche Default-Programme genutzt werden sollen festzulegen.<\/li>\n<\/ul>\n\n\n\n
Betroffene Anwendungsf\u00e4lle & Anwender-Feedback<\/h2>\n\n\n\n\n- Das popul\u00e4re Tool SetUserFTA in Version 1.7<\/a>, jedoch arbeitet Christoph Kolbicz bereits an einer v2.0 um die Thematik zu umgehen. Er war es auch, der bereits im Februar 2024 die Existenz und Wirkungsweise des UserChoice Protection Drivers entdeckte<\/a>.<\/li>\n\n\n\n
- VMWare Dynamic Environment Manager<\/a> … dort ist im VMWare-KB-Artikel<\/a> allerdings keinerlei L\u00f6sungsm\u00f6glichkeit verzeichnet, offenbar wurde mein Blog-Post also noch nicht gelesen<\/li>\n\n\n\n
- Das PowerShell PS-SFTA Tool<\/a>, siehe Issue #33<\/a><\/li>\n\n\n\n
- Das Sophia Script for Windows<\/a> (Best\u00e4tigung der Betroffenheit siehe hier<\/a>).<\/li>\n<\/ul>\n\n\n\n
Weiterf\u00fchrende Informationen<\/h2>\n\n\n\n\n- Seit 03.04.2024 ist nun auch der exzellente Blog-Post von Christoph Kolbicz<\/a> hierzu online: https:\/\/kolbi.cz\/blog\/2024\/04\/03\/userchoice-protection-driver-ucpd-sys\/<\/a><\/strong><\/li>\n<\/ul>\n\n\n\n
Medienberichterstattung (Auszug)<\/h2>\n\n\n\n\n- Am 07.04.2024 erschien von BleepingComputer im Wesentlichen ein WriteUp<\/a> des Blog-Posts von Christoph Kolbicz inklusive Verweis auf meinen Blog-Post hier. Neue Erkenntnisse liefert der Artikel jedoch keine, Microsoft wurde demnach zwar gebeten eine Stellungnahme abzugeben, wollte sich jedoch angeblich nicht \u00e4u\u00dfern.<\/li>\n\n\n\n
- Basierend auf dem Artikel von BleepingComputer<\/a> erschienen in weiterer Folge zig (teils offenbar automatisiert ins Spanische, Portugiesische, Chinesische etc… \u00fcbersetze) Kopien, viele davon finden sich in der Liste der PingBacks unten. Neue Erkenntnisse hieraus ergeben sich daraus aber freilich keine.<\/li>\n\n\n\n
- Am 08.04.2024 berichtet nun auch ghacks.net<\/a> hier\u00fcber, auch dieser Artikel ist eine Wiedergabe der bereits bekannten Erkenntnisse.<\/li>\n\n\n\n
- Ebenfalls am 08.04.2024 berichtet nun auch Neowin.com<\/a> hier\u00fcber, auch dieser Artikel ist eine Zusammenfassung der bereits beschriebenen Erkenntnisse.<\/li>\n\n\n\n
- Ebenfalls am 08.04.2024 berichtet auch techzine.eu<\/a>, der Artikel fasst den Stand der Dinge recht akkurat zusammen.<\/li>\n\n\n\n
- Am 09.04.2024 berichtet das Schweizer IT-Magazine<\/a> hier\u00fcber, auch dieser Artikel ist eine Wiedergabe der bereits bekannten Erkenntnisse.<\/li>\n\n\n\n
- Am 09.04.2024 berichtet nun auch Heise hier\u00fcber<\/a>, wenngleich der Redakteur den Sachverhalt nur partiell wiedergibt.<\/li>\n<\/ul>\n\n\n\n
Schutz der DeviceRegion & m\u00f6gliches Uninstall des Edge-Browsers in der EU (Nachtrag vom 08.04.2024)<\/h2>\n\n\n\n
Der Microsoft Edge Browser lie\u00df sich seit ca. Juni 2023 nicht mehr deinstallieren. Microsoft l\u00e4sst mittlerweile die DeInstallation (z.B. mittels MSIEXEC oder \u00fcber die Systemsteuerung\/Software) des Edge-Browsers zwar wieder zu, allerdings nur wenn das Ger\u00e4t in einem Land der EU lokalisiert ist. Gepr\u00fcft wird dies \u00fcber den Registry-Key HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Control Panel\\DeviceRegion\\<\/code>DeviceRegion<\/code> <\/strong>… wenn dieser z.B. einen Wert von 0x0000000e (Dezimal 14) = \u00d6sterreich\/Austria oder Hex 0x0000005e (Dezimal 94) f\u00fcr Deutschland aufweist, dann ist eine DeInstallation m\u00f6glich. Wert 0x000000f4 (Dezimal 244) = USA l\u00e4sst hingegen kein Entfernen des Edge-Browsers zu<\/strong>. Es muss sich also um eine DeviceRegion eines EU-Landes<\/a> handeln.<\/p>\n\n\n\nUnd auch dieser DeviceRegion<\/code> <\/strong>Registry-Key kann nicht so einfach automatisiert ge\u00e4ndert werden, da dieser vom UserChoice Protection Driver ucpd.sys gesch\u00fctzt wird!<\/strong><\/p>\n\n\n\nDie VMWare-L\u00f6sung VMWare-DEM-FTA-stub.dll<\/code> (Nachtrag vom 11.04.2024)<\/h2>\n\n\n\nIch habe oben ja bereits angedeutet, dass es freilich zahlreiche Schlupfl\u00f6cher gibt um den Filter-Treiber zu umgehen. Ein relativ billiges<\/em> Schlupfloch hat VMWare gew\u00e4hlt. Da dieses nun ohnehin allgemein bekannt ist (Patch ist allgemein verf\u00fcgbar), kann ich dieses somit auch hier \u00f6ffentlich kommentieren:<\/p>\n\n\n\nWie oben notiert hat VMWare mit Einf\u00fchrung des UCPD-Treibers dieses Problem hier: VMWare Dynamic Environment Manager – Issue with DEM FTA and Default Browser settings<\/a>.<\/p>\n\n\n\nAls L\u00f6sung hat VMWare am 11.04.2024 nun UCPD-fix-KB-97169<\/a> bereitgestellt. Wie funktioniert dieser?<\/p>\n\n\n\nVMWare stellt eine vmware-dem-fta-stub.dll<\/code> bereit. Ausgef\u00fchrt wird diese von UCPD-fix.exe<\/code><\/strong><\/p>\n\n\n\nHierzu wird die von Microsoft signierte rundll.exe<\/code><\/strong> nach UCPD-fix.exe<\/code><\/strong> kopiert. Da dieses File Microsoft signiert ist, wird es vom UCPD-Filtertreiber f\u00fcr den Zugriff zugelassen. Da es nicht mehr rundll.exe<\/code><\/strong> hei\u00dft, ist es nicht in der oben erl\u00e4uterten IsInDenyList<\/strong><\/code> enthalten, darf die Registry-Keys daher \u00e4ndern.<\/p>\n\n\n\n![\"\"](\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/UCPD_rundll.png\")
<\/a><\/figure>\n\n\n\n<\/p>\n\n\n\n
Follow-Up, Neue Lage im Oktober 2025<\/h2>\n\n\n\n
Microsoft hat in den vergangenen Monaten erneut die Ma\u00dfnahmen versch\u00e4rft, neue UCPD.sys Treiber-Versionen verteilt, und damit zahlreiche Tricks die m\u00f6glich waren um schreibend auf die gesch\u00fctzten Registry-Keys zuzugreifen damit unterbunden.<\/p>\n\n\n\n
Hier eine kleine Auswahl an hervorragenden Analysen hierzu:<\/p>\n\n\n\n
\n- Das Blog des UCPD-Gurus Christoph Kolbicz<\/a>, hier insbesonders:\n
\n- UserChoiceLatest \u2013 Microsoft\u2019s new protection for file type associations<\/a><\/li>\n\n\n\n
- UCPD.sys \u2013 UserChoice Protection Driver Part 2<\/a><\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Binary Ninja Blog: Inside Windows‘ Default Browser Protection<\/a><\/li>\n\n\n\n
- https:\/\/github.com\/xusheng6\/ucpd_analysis<\/a><\/li>\n<\/ul>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Sp\u00e4testens mit den M\u00e4rz 2024 Updates d\u00fcrfte Microsoft bei ziemlich allen Windows 10 und Windows 11 Editionen einen „UserChoice Protection Driver“ (Kurz-Name „UCPD“) auf die Systeme aufgebracht haben. Es handelt sich hierbei um einen Filter-Treiber, der den schreibenden Zugriff auf diverse „UserChoice“ Registry-Keys unterbinden soll. Was „UserChoice“ bedeutet habe ich vor vielen Jahren (im Jahr 2017) in diesem Blog-Post erl\u00e4utert…. <\/p>\n","protected":false},"author":1,"featured_media":2135,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[3,4,23],"tags":[591,590,593,594,589,588,587,592,189],"class_list":["post-2130","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it","category-security","category-windows","tag-pdf","tag-driver","tag-http","tag-https","tag-protection","tag-setuserfta","tag-ucpd","tag-urlassociations","tag-userchoice"],"_links":{"self":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/2130","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/comments?post=2130"}],"version-history":[{"count":53,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/2130\/revisions"}],"predecessor-version":[{"id":2542,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/2130\/revisions\/2542"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/media\/2135"}],"wp:attachment":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/media?parent=2130"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/categories?post=2130"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/tags?post=2130"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
C:\\>sc query ucpd<\/strong>\n\nSERVICE_NAME: ucpd\n TYPE : 2 FILE_SYSTEM_DRIVER\n STATE <\/strong>: 4 RUNNING<\/strong>\n (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)\n WIN32_EXIT_CODE : 0 (0x0)\n SERVICE_EXIT_CODE : 0 (0x0)\n CHECKPOINT : 0x0\n WAIT_HINT : 0x0<\/code><\/pre>\n\n\n\nPr\u00fcfung der Dienst-Konfiguration von UCPD … Start Type: SYSTEM_START (1)<\/strong><\/code><\/p>\n\n\n\nC:\\>sc qc ucpd<\/strong>\n[SC] QueryServiceConfig ERFOLG\n\nSERVICE_NAME: ucpd\n TYPE : 2 FILE_SYSTEM_DRIVER\n START_TYPE : 1 SYSTEM_START<\/strong>\n ERROR_CONTROL : 1 NORMAL\n BINARY_PATH_NAME : system32\\drivers\\UCPD.sys\n LOAD_ORDER_GROUP : FSFilter Activity Monitor\n TAG : 0\n DISPLAY_NAME : UCPD\n DEPENDENCIES :\n SERVICE_START_NAME :<\/code><\/pre>\n\n\n\nAuswirkungen am Beispiel SetUserFTA.exe<\/h3>\n\n\n\n
Dieser Filter-Treiber unterbindet, dass Software die nicht von Microsoft stammt schreibend auf diverse „UserChoice“ Registry-Keys zugreifen k\u00f6nnen, ein Process-Monitor zeigt: ACCESS-DENIED.<\/p>\n\n\n\n
Beispiel: Das popul\u00e4re SetUserFTA-Tool von Christoph Kolbicz<\/a> in bew\u00e4hrter Version 1.7 kann nun nicht mehr wie gewohnt zur Konfiguration des Default-PDF-Readers verwendet werden. Process-Monitor zeigt Access-Denied<\/strong> (obwohl die Rechte hierf\u00fcr eigentlich unver\u00e4ndert vorhanden w\u00e4ren):<\/p>\n\n\n\n<\/a><\/figure>\n\n\n\nWie funktioniert dieser Filter-Treiber?<\/h2>\n\n\n\n
Der UCPD Filter-Treiber f\u00fcgt sich auf einer definierten „Altitude“ („H\u00f6he“)<\/a> in das Gef\u00fcge der Microsoft (bzw. Dritthersteller-) Filter-Treiber ein, dies kann z.B. wie folgt gepr\u00fcft werden:<\/p>\n\n\n\nC:\\>fltMC.exe filters<\/strong>\n\nFiltername Anzahl von Instanzen H\u00f6he Frame\n----------------------------- -------------------- ---- -----\nbindflt 1 409800 0\nFsDepends 13 407000 0\nUCPD 15 385250.5 0<\/strong>\nPROCMON24 4 385200 0\nWdFilter 15 328010 0\nstorqosflt 2 244000 0\nwcifs 3 189900 0\nCldFlt 4 180451 0\nFileCrypt 0 141100 0\nluafv 1 135000 0\nnpsvctrig 1 46000 0\nWof 12 40700 0\nFileInfo 15 40500 0<\/code><\/pre>\n\n\n\nDen vollen Namen eines Filter-Treibers ermittelt man auf der CmdLine am schnellsten mittels „sc qc <DienstName><\/code>„:<\/p>\n\n\n\n\n- bindflt … Windows Bind Filter Driver \/ FSFilter Top<\/li>\n\n\n\n
- FsDepends … File System Dependency Minifilter \/ FSFilter Top<\/li>\n\n\n\n
- UCPD … User Choice Protection Driver \/ FSFilter Activity Monitor<\/strong><\/li>\n\n\n\n
- PROCMON24 … SysInternals Process Monitor<\/li>\n\n\n\n
- WdFilter … Microsoft Defender Antivirus-Minifiltertreiber \/ FSFilter Anti-Virus<\/li>\n\n\n\n
- storqosflt … QoS-Filter f\u00fcr Speicher \u2013 Treiber \/ FSFilter Quota Management<\/li>\n\n\n\n
- wcifs … Windows Container Isolation \/ FSFilter Virtualization<\/li>\n\n\n\n
- CldFlt … Windows Cloud Files Filter Driver \/ FSFilter HSM<\/li>\n\n\n\n
- FileCrypt … FileCrypt \/ FSFilter Encryption<\/li>\n\n\n\n
- luafv … UAC-Dateivirtualisierung \/ FSFilter Virtualization<\/li>\n\n\n\n
- npsvctrig … Named pipe service trigger provider<\/li>\n\n\n\n
- FileInfo … File Information FS MiniFilter \/ FSFilter Bottom<\/li>\n<\/ul>\n\n\n\n
Welche Registry-Zugriffe unterbindet UCPD?<\/h3>\n\n\n\n
Praktische Tests und De-Assemblierung\/De-Kompilierung sowie String-Analyse zeigen, dass augenscheinlich L\u00f6sch- und Schreib-Operationen auf folgende Registry-Keys derzeit unterbunden werden:<\/p>\n\n\n\n
# SetProtectRuleOnStart Funktion setzt offenkundig Filter f\u00fcr folgende HKCU Registry-Keys:<\/strong>\nSoftware\\Microsoft\\Windows\\Shell\\Associations\\UrlAssociations\\http\\UserChoice\nSoftware\\Microsoft\\Windows\\Shell\\Associations\\UrlAssociations\\http\\UserChoiceLatest\nSoftware\\Microsoft\\Windows\\Shell\\Associations\\UrlAssociations\\http\\UserChoicePrevious\nSoftware\\Microsoft\\Windows\\Shell\\Associations\\UrlAssociations\\https\\UserChoice\nSoftware\\Microsoft\\Windows\\Shell\\Associations\\UrlAssociations\\https\\UserChoiceLatest\nSoftware\\Microsoft\\Windows\\Shell\\Associations\\UrlAssociations\\https\\UserChoicePrevious\nSoftware\\Microsoft\\Windows\\CurrentVersion\\Explorer\\FileExts\\.pdf\\UserChoice\nSoftware\\Microsoft\\Windows\\CurrentVersion\\Explorer\\FileExts\\.pdf\\UserChoiceLatest\nSoftware\\Microsoft\\Windows\\CurrentVersion\\Explorer\\FileExts\\.pdf\\UserChoicePrevious\n\n# Nachtrag vom 08.04.2024: Auch die DeviceRegion ist von UCPD gesch\u00fctzt:\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Control Panel\\DeviceRegion\\DeviceRegion<\/code><\/pre>\n\n\n\nWelche Prozesse werden blockiert, bzw. welche Prozesse d\u00fcrfen noch zugreifen?<\/h3>\n\n\n\n
Hier wird offenbar wie folgt vorgegangen: Es wird gepr\u00fcft, ob es sich um ein Microsoft signiertes, zum Windows-Betriebssystem geh\u00f6rendes File handelt, und dieses darf nicht auf der „DenyList“ stehen:<\/p>\n\n\n
\n<\/a><\/figure>\n<\/div>\n\n\nOb es sich um ein Microsoft-signiertes File handelt wird offenbar wie folgt gepr\u00fcft:<\/p>\n\n\n
\n<\/a><\/figure>\n<\/div>\n\n\nUnd hierf\u00fcr allzu leicht geeignete Werkzeuge sind \u00fcber eine DenyList ausgeschlossen:<\/p>\n\n\n
\n<\/a><\/figure>\n<\/div>\n\n\nKonkret handelt es sich hierbei in der mit M\u00e4rz 2024 aktuellen UCPD.sys Version um folgende Microsoft Windows Prozesse:<\/p>\n\n\n\n
# IsInDenyList Prozesse<\/strong>\n*\\dllhost.exe\n*\\reg.exe\n*\\rundll32.exe\n*\\powershell.exe\n*\\regedit.exe\n*\\wscript.exe\n*\\cscript.exe<\/code><\/pre>\n\n\n\nL\u00e4sst sich der UserChoice Protection Driver deaktivieren?<\/h2>\n\n\n\n
Ja, allerdings nicht im laufenden Betrieb – dies wird verweigert (bzw. dies ist im Filter-Treiber nicht implementiert). Zur Deaktivierung muss daher die Startart auf „Deaktiviert“ konfiguriert und Windows anschlie\u00dfend neu gestartet werden. Danach l\u00e4uft der Treiber nicht mehr:<\/p>\n\n\n\n
C:\\>sc config UCPD start= disabled<\/strong>\n[SC] ChangeServiceConfig ERFOLG\n\nC:\\>sc qc UCPD<\/strong>\n[SC] QueryServiceConfig ERFOLG\n\nSERVICE_NAME: UCPD\n TYPE : 2 FILE_SYSTEM_DRIVER\n START_TYPE : 4 DISABLED<\/strong>\n ERROR_CONTROL : 1 NORMAL\n BINARY_PATH_NAME : system32\\drivers\\UCPD.sys\n LOAD_ORDER_GROUP : FSFilter Activity Monitor\n TAG : 0\n DISPLAY_NAME : UCPD\n DEPENDENCIES :\n SERVICE_START_NAME :<\/code><\/pre>\n\n\n\nOK, Deaktivieren klappt – aber der Treiber reaktiviert sich wieder!<\/h3>\n\n\n\n
Ja, diese Beobachtung ist korrekt. Microsoft hat einen TaskPlaner-Job Namens „Microsoft \\ Windows \\ AppxDeplomentClient \\ UCPD velocity<\/strong>“ hinterlegt, der nach jeder Benutzer-Anmeldung und 10min Idle-Time des System durch Aufruf des „UCPDMgr.exe<\/strong><\/code>“ den Treiber wieder rekonfiguriert. Achtung: Dieser TaskPlaner-Job ist nur mit Administrator-Rechten (nicht mit User-Rechten) sichtbar! <\/p>\n\n\n\n<\/a><\/figure>\n\n\n\nUm eine Reaktivierung von UCPD zu verhindern muss also auch dieser TaskPlaner-Job deaktiviert werden:<\/p>\n\n\n\n
C:\\>schtasks.exe \/change \/Disable \/TN \"\\Microsoft\\Windows\\AppxDeploymentClient\\UCPD velocity\"<\/strong>\nERFOLGREICH: Die Parameter der geplanten Aufgabe \"\\Microsoft\\Windows\\AppxDeploymentClient\\UCPD velocity\" wurden ge\u00e4ndert.<\/code><\/pre>\n\n\n\nUCPDMgr.exe pr\u00fcft und korrigiert offenkundig folgendes:<\/h3>\n\n\n\n\n- Start-Art des Dienstes „SYSTEM_START“ … wenn nicht korrekt wird diese Konfiguration hergestellt<\/li>\n\n\n\n
- Wert des Registry-Keys HKLM\\SYSTEM\\CurrentControlSet\\Services\\UCPD\\FeatureV2 … wird auf „2“ konfiguriert sofern nicht gesetzt.<\/li>\n\n\n\n
- L\u00e4uft der Dienst? Wenn nein wird dieser gestartet. Ein Starten des Filter-Treibers ist jederzeit im laufenden Betrieb m\u00f6glich, ein Beenden hingegen nicht – hierf\u00fcr muss wie oben bereits erl\u00e4utert die Startart auf DISABLED konfiguriert und Windows neu gestartet werden.<\/li>\n<\/ul>\n\n\n\n
Registry: HKLM\\SYSTEM\\CurrentControlSet\\Services\\UCPD => \"FeatureV2\" => \"2\"<\/code><\/pre>\n\n\n\n<\/a><\/figure>\n\n\n\nWas hat es mit „FeatureV2“ auf sich?<\/h3>\n\n\n\n
Offenbar besteht mittels des „FeatureV2<\/code>“ Setting die M\u00f6glichkeit den Filter-Treiber in einen nicht-wirksamen Modus zu schalten. Getesteter Weise wird auch bei gestartetem Filter-Treiber und „FeatureV2<\/code>“ Wert „0<\/code>“ kein Zugriff blockiert, w\u00e4hrend mit Wert „2<\/code>“ sich der Filter-Treiber blockierend wie beschrieben verh\u00e4lt.<\/p>\n\n\n\nAchtung: Dieser FeatureV2<\/code> Wert wird nur beim Filter-Treiber-Start ausgelesen, eine \u00c4nderung bedingt zum Test also einen Neustart von Windows.<\/p>\n\n\n\nGibt es M\u00f6glichkeiten den Filter-Treiber zu umgehen?<\/h2>\n\n\n\n
Ja<\/strong>, neben der Deaktivierung bestehen zahlreiche Schlupfl\u00f6cher wie der Filter-Treiber umgangen werden kann … aber dies zu behandeln ist vorerst nicht Teil dieses Blog-Posts.<\/p>\n\n\n\nWozu macht Microsoft das?<\/h2>\n\n\n\n
Nun ja, dar\u00fcber kann man – in Ermangelung von Dokumentation seitens Microsoft – nur spekulieren. Best Guess:<\/p>\n\n\n\n
\n- Um zu verhindern, dass Software wie z.B. Adobe Reader, Firefox, Chrome sich selbst als „Default-Anwendung“ konfigurieren kann.<\/li>\n\n\n\n
- Um zu verhindern, dass Administratoren mit Tools wie z.B. SetUserFTA.exe das System f\u00fcr den Benutzer passend vorkonfigurieren bzw. gescriptet rekonfigurieren.<\/li>\n\n\n\n
- Um damit Auflagen der EU betreffend „U<\/strong>nfair C<\/strong>ommercial P<\/strong>ractices D<\/strong>irective“ (man beachte, dass diese EU-Richtlinie ebenfalls die Abk\u00fcrzung UCPD<\/strong> tr\u00e4gt!) umzusetzen … und zwar vermutlich in einer Art und Weise, die es nur noch dem Benutzer interaktiv mittels Wizzard bzw. Explorer erlaubt diese Auswahl welche Default-Programme genutzt werden sollen festzulegen.<\/li>\n<\/ul>\n\n\n\n
Betroffene Anwendungsf\u00e4lle & Anwender-Feedback<\/h2>\n\n\n\n\n- Das popul\u00e4re Tool SetUserFTA in Version 1.7<\/a>, jedoch arbeitet Christoph Kolbicz bereits an einer v2.0 um die Thematik zu umgehen. Er war es auch, der bereits im Februar 2024 die Existenz und Wirkungsweise des UserChoice Protection Drivers entdeckte<\/a>.<\/li>\n\n\n\n
- VMWare Dynamic Environment Manager<\/a> … dort ist im VMWare-KB-Artikel<\/a> allerdings keinerlei L\u00f6sungsm\u00f6glichkeit verzeichnet, offenbar wurde mein Blog-Post also noch nicht gelesen<\/li>\n\n\n\n
- Das PowerShell PS-SFTA Tool<\/a>, siehe Issue #33<\/a><\/li>\n\n\n\n
- Das Sophia Script for Windows<\/a> (Best\u00e4tigung der Betroffenheit siehe hier<\/a>).<\/li>\n<\/ul>\n\n\n\n
Weiterf\u00fchrende Informationen<\/h2>\n\n\n\n\n- Seit 03.04.2024 ist nun auch der exzellente Blog-Post von Christoph Kolbicz<\/a> hierzu online: https:\/\/kolbi.cz\/blog\/2024\/04\/03\/userchoice-protection-driver-ucpd-sys\/<\/a><\/strong><\/li>\n<\/ul>\n\n\n\n
Medienberichterstattung (Auszug)<\/h2>\n\n\n\n\n- Am 07.04.2024 erschien von BleepingComputer im Wesentlichen ein WriteUp<\/a> des Blog-Posts von Christoph Kolbicz inklusive Verweis auf meinen Blog-Post hier. Neue Erkenntnisse liefert der Artikel jedoch keine, Microsoft wurde demnach zwar gebeten eine Stellungnahme abzugeben, wollte sich jedoch angeblich nicht \u00e4u\u00dfern.<\/li>\n\n\n\n
- Basierend auf dem Artikel von BleepingComputer<\/a> erschienen in weiterer Folge zig (teils offenbar automatisiert ins Spanische, Portugiesische, Chinesische etc… \u00fcbersetze) Kopien, viele davon finden sich in der Liste der PingBacks unten. Neue Erkenntnisse hieraus ergeben sich daraus aber freilich keine.<\/li>\n\n\n\n
- Am 08.04.2024 berichtet nun auch ghacks.net<\/a> hier\u00fcber, auch dieser Artikel ist eine Wiedergabe der bereits bekannten Erkenntnisse.<\/li>\n\n\n\n
- Ebenfalls am 08.04.2024 berichtet nun auch Neowin.com<\/a> hier\u00fcber, auch dieser Artikel ist eine Zusammenfassung der bereits beschriebenen Erkenntnisse.<\/li>\n\n\n\n
- Ebenfalls am 08.04.2024 berichtet auch techzine.eu<\/a>, der Artikel fasst den Stand der Dinge recht akkurat zusammen.<\/li>\n\n\n\n
- Am 09.04.2024 berichtet das Schweizer IT-Magazine<\/a> hier\u00fcber, auch dieser Artikel ist eine Wiedergabe der bereits bekannten Erkenntnisse.<\/li>\n\n\n\n
- Am 09.04.2024 berichtet nun auch Heise hier\u00fcber<\/a>, wenngleich der Redakteur den Sachverhalt nur partiell wiedergibt.<\/li>\n<\/ul>\n\n\n\n
Schutz der DeviceRegion & m\u00f6gliches Uninstall des Edge-Browsers in der EU (Nachtrag vom 08.04.2024)<\/h2>\n\n\n\n
Der Microsoft Edge Browser lie\u00df sich seit ca. Juni 2023 nicht mehr deinstallieren. Microsoft l\u00e4sst mittlerweile die DeInstallation (z.B. mittels MSIEXEC oder \u00fcber die Systemsteuerung\/Software) des Edge-Browsers zwar wieder zu, allerdings nur wenn das Ger\u00e4t in einem Land der EU lokalisiert ist. Gepr\u00fcft wird dies \u00fcber den Registry-Key HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Control Panel\\DeviceRegion\\<\/code>DeviceRegion<\/code> <\/strong>… wenn dieser z.B. einen Wert von 0x0000000e (Dezimal 14) = \u00d6sterreich\/Austria oder Hex 0x0000005e (Dezimal 94) f\u00fcr Deutschland aufweist, dann ist eine DeInstallation m\u00f6glich. Wert 0x000000f4 (Dezimal 244) = USA l\u00e4sst hingegen kein Entfernen des Edge-Browsers zu<\/strong>. Es muss sich also um eine DeviceRegion eines EU-Landes<\/a> handeln.<\/p>\n\n\n\nUnd auch dieser DeviceRegion<\/code> <\/strong>Registry-Key kann nicht so einfach automatisiert ge\u00e4ndert werden, da dieser vom UserChoice Protection Driver ucpd.sys gesch\u00fctzt wird!<\/strong><\/p>\n\n\n\nDie VMWare-L\u00f6sung VMWare-DEM-FTA-stub.dll<\/code> (Nachtrag vom 11.04.2024)<\/h2>\n\n\n\nIch habe oben ja bereits angedeutet, dass es freilich zahlreiche Schlupfl\u00f6cher gibt um den Filter-Treiber zu umgehen. Ein relativ billiges<\/em> Schlupfloch hat VMWare gew\u00e4hlt. Da dieses nun ohnehin allgemein bekannt ist (Patch ist allgemein verf\u00fcgbar), kann ich dieses somit auch hier \u00f6ffentlich kommentieren:<\/p>\n\n\n\nWie oben notiert hat VMWare mit Einf\u00fchrung des UCPD-Treibers dieses Problem hier: VMWare Dynamic Environment Manager – Issue with DEM FTA and Default Browser settings<\/a>.<\/p>\n\n\n\nAls L\u00f6sung hat VMWare am 11.04.2024 nun UCPD-fix-KB-97169<\/a> bereitgestellt. Wie funktioniert dieser?<\/p>\n\n\n\nVMWare stellt eine vmware-dem-fta-stub.dll<\/code> bereit. Ausgef\u00fchrt wird diese von UCPD-fix.exe<\/code><\/strong><\/p>\n\n\n\nHierzu wird die von Microsoft signierte rundll.exe<\/code><\/strong> nach UCPD-fix.exe<\/code><\/strong> kopiert. Da dieses File Microsoft signiert ist, wird es vom UCPD-Filtertreiber f\u00fcr den Zugriff zugelassen. Da es nicht mehr rundll.exe<\/code><\/strong> hei\u00dft, ist es nicht in der oben erl\u00e4uterten IsInDenyList<\/strong><\/code> enthalten, darf die Registry-Keys daher \u00e4ndern.<\/p>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/p>\n\n\n\n
Follow-Up, Neue Lage im Oktober 2025<\/h2>\n\n\n\n
Microsoft hat in den vergangenen Monaten erneut die Ma\u00dfnahmen versch\u00e4rft, neue UCPD.sys Treiber-Versionen verteilt, und damit zahlreiche Tricks die m\u00f6glich waren um schreibend auf die gesch\u00fctzten Registry-Keys zuzugreifen damit unterbunden.<\/p>\n\n\n\n
Hier eine kleine Auswahl an hervorragenden Analysen hierzu:<\/p>\n\n\n\n
\n- Das Blog des UCPD-Gurus Christoph Kolbicz<\/a>, hier insbesonders:\n
\n- UserChoiceLatest \u2013 Microsoft\u2019s new protection for file type associations<\/a><\/li>\n\n\n\n
- UCPD.sys \u2013 UserChoice Protection Driver Part 2<\/a><\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Binary Ninja Blog: Inside Windows‘ Default Browser Protection<\/a><\/li>\n\n\n\n
- https:\/\/github.com\/xusheng6\/ucpd_analysis<\/a><\/li>\n<\/ul>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Sp\u00e4testens mit den M\u00e4rz 2024 Updates d\u00fcrfte Microsoft bei ziemlich allen Windows 10 und Windows 11 Editionen einen „UserChoice Protection Driver“ (Kurz-Name „UCPD“) auf die Systeme aufgebracht haben. Es handelt sich hierbei um einen Filter-Treiber, der den schreibenden Zugriff auf diverse „UserChoice“ Registry-Keys unterbinden soll. Was „UserChoice“ bedeutet habe ich vor vielen Jahren (im Jahr 2017) in diesem Blog-Post erl\u00e4utert…. <\/p>\n","protected":false},"author":1,"featured_media":2135,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[3,4,23],"tags":[591,590,593,594,589,588,587,592,189],"class_list":["post-2130","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it","category-security","category-windows","tag-pdf","tag-driver","tag-http","tag-https","tag-protection","tag-setuserfta","tag-ucpd","tag-urlassociations","tag-userchoice"],"_links":{"self":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/2130","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/comments?post=2130"}],"version-history":[{"count":53,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/2130\/revisions"}],"predecessor-version":[{"id":2542,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/2130\/revisions\/2542"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/media\/2135"}],"wp:attachment":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/media?parent=2130"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/categories?post=2130"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/tags?post=2130"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}