Rakenduskoht
Win 10 Ent LTSB 2016 Win 10 Ent LTSC 2019 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Avaldamise algne kuupäev: 9. detsember 2025

KB ID: 5074596

Selles artiklis kirjeldatakse muudatust, mis mõjutab peamiselt ettevõtte või IT-haldusega keskkondi, kus automatiseerimiseks ja veebisisu toomiseks kasutatakse PowerShelli skripte. Inimesed ei pea isiklikes või kodusätetes seadmeid kasutama, kuna need stsenaariumid ei ole sageli IT-haldusega keskkonnas.

Muuda kuupäeva

Muuda kirjeldust

20. detsember 2025

  • Lisati jaotisse "Kokkuvõte" turbehoiatus.

  • Selguse huvides lisati jaotisse "Kokkuvõte" järgmine lõik: PowerShelli käsk Invoke-WebRequest esitab veebiserverile HTTP- või HTTPS-päringu ja tagastab tulemid. Selles artiklis on esitatud tugevdav muudatus, kus Windows PowerShell 5.1 kuvab tahtlikult turbekinnitusviiba, kui kasutate käsku Invoke-WebRequest eriparameetriteta veebilehtede toomiseks. Selline käitumine ilmneb pärast seda, kui toetatud Windowsi klientrakendused ja serverid on installinud Windowsi Teabevärskendused välja antud 9. detsembril 2025 ja pärast seda. Lisateavet leiate artiklist CVE-2025-54100.

  • Lisati jaotise "Toiming" 1. suvandisse "Automaatsete skriptide või ajastatud tööülesannete jaoks" järgmised täpploendid.

    • Profiilita suvandiga töötavate skriptide puhul: kui skriptil on Invoke-WebRequest kutseid palju, deklareerige $PSDefaultParameterValues['Invoke-WebRequest:UseBasicParsing'] = $true skripti ülaosas.

    • Kui invoke-WebRequesti kasutatakse koos parameetriga -UseBasicParsing, pole täielik dokumendiobjekti mudel (DOM) sõelumine Internet Exploreri komponentide abil (HTMLDocumenti liides (mshtml)) võimalik.

  • Jaotises "Toiming" on 2. võimaluse täpploendipunkt "Modernize your approach to web interactions" ("Veebisuhtluse moderniseerimine").

    • Invoke-Webrequest in Powershell Core (versioon 7.x või uuem) ei toeta DOM-sõelumist Internet Exploreri komponentide abil. Vaikesõelumine toob sisu turvaliselt ilma skripti käivitamiseta.

Kokkuvõte

Windows PowerShell 5.1 kuvab nüüd käsu Invoke-WebRequest kasutamisel eriparameetriteta veebilehtede toomiseks turbekinnituse viiba.

Turbehoiatus: Skripti käivitamise risk Invoke-WebRequest sõelub veebilehe sisu. Skriptikood võidakse veebilehel sõelumisel käivitada.

SOOVITATAV TOIMING: skriptikoodi käivitamise vältimiseks kasutage lülitit -UseBasicParsing.

Kas soovite jätkata?

See viip hoiatab, et lehe skriptid võivad sõelumise ajal töötada ja soovitab skripti käivitamise vältimiseks kasutada parameetrit -UseBasicParsing. Kasutajad peavad valima toimingu jätkamise või tühistamise. See muudatus aitab kaitsta pahatahtliku veebisisu eest, nõudes enne potentsiaalselt riskantseid toiminguid kasutaja nõusolekut.

PowerShelli käsk Invoke-WebRequest esitab http- või HTTPS-päringu veebiserverisse ja tagastab tulemid. Selles artiklis on esitatud tugevdav muudatus, kus Windows PowerShell 5.1 kuvab käsu Invoke-WebRequest kasutamisel eriparameetriteta veebilehtede toomiseks tahtlikult turbekinnituse viiba. See käitumine ilmneb pärast seda, kui toetatud Windowsi klientrakendused ja serverid on Installinud Windowsi Teabevärskendused välja antud 9. detsembril 2025 ja pärast seda. Lisateavet leiate artiklist CVE-2025-54100.

Mis on muutunud?

  • Eelmine käitumine

    • Full Document Object Model (DOM) sõelumine Internet Exploreri komponentide abil (HTMLDocumenti liides (mshtml)), mis võib käivitada allalaaditud sisu skripte.

  • Uus käitumine

    • Turbekinnituse viip: Pärast 9. detsembril 2025 või pärast seda välja antud Windowsi värskenduste installimist käivitatakse rakenduses PowerShell 5.1 käsu Invoke-WebRequest (nimetatakse ka kõveraks) käivitamisel turbeviip (kui eriparameetrit ei kasutata). Viip kuvatakse PowerShelli konsoolis hoiatusega skripti käivitamise ohu kohta. See tähendab, et PowerShell peatub ja hoiatab teid, et ettevaatusabinõuta võib veebilehe skripti sisu teie süsteemis käivituda, kui seda töödeldakse. Kui vajutate sisestusklahvi ( või klõpsate nuppu Ei), tühistatakse toiming turvalisuse tagamiseks vaikimisi. PowerShell kuvab teate, et see tühistati turbeprobleemide tõttu, ja soovitab käsu uuesti käivitada, kasutades turvaliseks töötlemiseks parameetrit -UseBasicParsing. Kui valite Jah, jätkab PowerShell lehe sõelumist vanema meetodi abil (täielik HTML-sõelumine), mis tähendab, et see laadib sisu ja kõik manustatud skriptid nagu varem. Põhimõtteliselt tähendab nupu Jah valimine seda, et aktsepteerite riski ja lubate käsul töötada nii, nagu ennegi, kuid nupu Ei (vaikesäte) valimisel peatatakse teie kaitsmiseks toiming.

    • Interaktiivne vs skriptitud kasutus: Selle viiba kasutuselevõtt mõjutab peamiselt interaktiivset kasutust. Interaktiivsetel seanssidel kuvatakse hoiatus ja te peate vastama. Automaatsete skriptide (mitte-interaktiivsed stsenaariumid, nagu ajastatud ülesanded või CI konveierid) korral võib see viip põhjustada skripti hangumise sisendi ootamise ajal. Selle vältimiseks soovitame selliseid skripte konkreetselt turvaliste parameetrite kasutamiseks värskendada (vt allpool), veendudes, et need ei nõua käsitsi kinnitamist.

Tegutsemine

Enamik PowerShelli skripte ja käske, mis kasutavad käsku Invoke-WebRequest, töötab vähe või üldse mitte. Näiteks skripte, mis laadivad alla ainult sisu või töötavad vastuse kehaga teksti või andmetena, see ei mõjuta ega nõua muudatusi. 

Kui teil on skripte, mida see muudatus mõjutab, kasutage ühte järgmistest viisidest.

Sisu toomiseks pole vaja midagi teha, kui käsu Käivita-WebRequest tüüpiline kasutus on sisu toomine (nt failide allalaadimine või staatilise teksti lugemine) ja te ei toetu saidi täpsemale interaktsioonile ega HTML-i DOM-i sõelumisele. Uus vaikekäitumine on turvalisem – veebisisule manustatud skriptid ei tööta ilma teie loata ja see on enamiku stsenaariumide jaoks soovitatav konfiguratsioon. 

Interaktiivseks kasutuseks vastake lihtsalt uuele turbeviibale Ei (või vajutage vaikesätte aktsepteerimiseks sisestusklahvi Enter ) ja käivitage sisu turvaliseks toomiseks käsk uuesti parameetriga -UseBasicParsing. Nii ei käivitata toodud lehel skriptikoodi. Kui võtate veebisisu sageli interaktiivselt, kaaluge käskudes vaikimisi parameetri -UseBasicParsing kasutamist, et viip täielikult vahele jätta ja tagada maksimaalne turvalisus. 

Automaatsete skriptide või ajastatud tööülesannete korral värskendage neid nii, et see hõlmaks kutsumis-WebRequest-kutseteparameetrit -UseBasicParsing. See eelvalib ohutu käitumise, nii et viipa ei kuvata ja teie skript töötab katkestusteta. Seda tehes tagate, et teie automatiseerimine töötab sujuvalt pärast värskendamist, kasutades samal ajal täiustatud turvet.

  • Skriptide puhul, mis töötavad suvandiga -NoProfile: kui skriptil on kutsumise-WebRequesti kutsete palju esinemiskordi, deklareerige $PSDefaultParameterValues['Invoke-WebRequest:UseBasicParsing'] = $true skripti ülaosas.

  • Kui invoke-WebRequesti kasutatakse koos parameetriga -UseBasicParsing , pole täielik dokumendiobjekti mudel (DOM) sõelumine Internet Exploreri komponentide abil (HTMLDocumenti liides (mshtml)) võimalik.

Ebausaldusväärse või avaliku veebisisuga seotud skriptide või automatiseerimise korral, mis nõuavad HTML-struktuuride või vormide töötlemist, võiksite need pikaajalise turvalisuse huvides ümber teha või värskendada. Selle asemel, et kasutada PowerShelli potentsiaalselt ohtlike veebilehe skriptide sõelumiseks ja käivitamiseks, saate teha järgmist. 

  • Kasutage alternatiivseid sõelumismeetodeid või -teeke (nt käsitlege veebilehe sisu lihtteksti või XML-ina, kasutades regex- või XML-/HTML-sõelumisteeke, mis ei käivita skripte).

  • Ajakohastada veebisuhtlust, kasutades võib-olla uuemat PowerShell Core'i (versioon 7.x või uuem versioon), mis ei sõltu Internet Exploreri mootorist ja väldib skriptide käitamist või kasutades spetsiaalseid veebikaapimistööriistu, mis töötlevad sisu turvalisemalt. Internet Exploreri funktsioonidele tuginemise piiramine, kuna Internet Explorer on iganenud. Plaanige nendest funktsioonidest sõltuvad skriptide osad ümber kirjutada, et need saaksid töötada keskkonnas, kus veebisisu käsitletakse ohutult.

    • Invoke-WebRequest in PowerShell Core (versioon 7.x või uuem) ei toeta DOM-sõelumist Internet Exploreri komponentide abil. Vaikesõelumine toob sisu turvaliselt ilma skripti käivitamiseta.

  • Refactoringu eesmärk on saavutada oma vajalik funktsionaalsus, ilma et peaksite end turvariskidele paljastama, hõlmates seeläbi selle muudatuse turvalisemad vaikesätted.

Kui teil on vaja kasutada käsu Invoke-WebRequest kõiki HTML-sõelumisvõimalusi (nt vormiväljadega suhtlemine või struktureeritud andmete kraapimine) ja usaldate veebisisu allikat, saate pärandsõelumiskäitumist siiski iga juhtumi puhul jätkata. Interaktiivsete seansside korral tähendab see lihtsalt toimingu jätkamise lubamiseks kinnitusviibas nupu Jah valimist. Iga kord, kui seda teete, saadetakse teile turberiskide kohta meeldetuletus. Parameetrita -UseBasicParsing jätkamine peaks piirduma stsenaariumidega, kus te veebisisu täielikult usaldate (nt teie kontrolli all olevad sisemised veebirakendused või teadaolevad turvalised veebisaidid). 

NB!: Seda lähenemist ei soovitata ebausaldusväärse või avaliku veebisisu suhtes töötavate skriptide puhul, kuna see taaskehtestab skripti vaikse käivitamise ohtu, mida see värskendus peaks leevendama. Lisaks puudub mitte-interaktiivse automatiseerimise puhul sisseehitatud mehhanism viiba automaatseks nõustumiseks, nii et skriptide täielik sõelumine ei ole soovitatav (lisaks riskantsele). Kasutage seda suvandit tagasihoidlikult ja ainult ajutise meetmena.

Korduma kippuvad küsimused​​​​​​​

Enamasti töötavad endiselt skriptid, mis laadivad faile alla või toovad tekstina veebisisu. Viiba vältimiseks lisage parameeter -UseBasicParsing.

 Täpsemat HTML-sõelumist (nt vorme või DOM-i) kasutavad skriptid võivad struktureeritud objektide asemel hanguda või toota toorandmeid; sisu erinevaks käsitlemiseks peate aktiveerima põhisõelumise või muutma oma skripti. 

Kasutage alati parameetrit -UseBasicParsing PowerShelli skriptide käsuga Invoke-WebRequest, et tagada turvaline, mitte interaktiivne täitmine.  

Jah. Pärandsõelumisest sõltuvaid skripte tuleb värskendada, et lubada või refactor valida.

PowerShelli muudatus rakendub nii standard- kui ka kiirpääsu värskendustele, mille tulemuseks on sama käitumine.

Jah. PowerShell 7 kasutab juba vaikimisi turvalist sõelumist.

Tugiteenuselepingute saamiseks pöörduge moodulite omanike poole. Kasutage migreerimisel sisu usaldusväärseks lubamiseks ajutiselt luba.

Muudatuse ettevalmistamiseks ja valideerimiseks soovitame teha järgmist. 

  • Skriptide tuvastamine DOM-funktsioonide abil.

  • Testi automatiseerimist uue vaikeväärtusega.

  • Pärandi lubamise piiramine usaldusväärsete allikatega.

  • Ebausaldusväärse sisu refaktoorimise kavandamine.

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus