5月27日消息,惠普发布支持公告,确认4月初推送的BIOS更新存在缺陷,导致大量商用笔记本、台式机和工作站陷入BitLocker恢复密钥无限循环,同时阻断微软2023 Secure Boot证书更新。
受影响范围覆盖惠普商用笔记本、商用台式机和工作站,涉及Windows 11 23H2、24H2和25H2版本。
用户安装问题BIOS更新后,电脑启动直接进入BitLocker恢复界面,即使输入正确恢复密钥成功进入桌面,系统也不会记录,下次重启再次要求输入密钥,形成死循环。
根因在于BIOS更新修改了Secure Boot变量(密钥交换密钥和签名数据库),改变了TPM芯片平台配置寄存器中记录的启动度量值,与BitLocker封印密钥时的基准不匹配,TPM拒绝释放加密密钥。
由于固件更新不稳定,新密钥和证书始终无法成功提交,固件状态与基准永远无法对齐,每次重启都触发恢复流程。
部分硬件配置还会在开机自检阶段直接卡死在惠普Logo界面,惠普 ZBook Ultra G1a等高端移动工作站用户反馈BIOS版本01.04.05 Rev A导致系统完全冻结。
由于原2011年加密密钥即将全球过期,微软要求主板厂商在2026年6月前部署更新的Secure Boot证书。
惠普的4月固件更新恰恰打断了这一关键同步链:Windows 11尝试将暂存的密钥交接给主板时,硬件遇到未处理异常。
企业管理员可通过注册表路径`HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing`检查,若UEFICA2023Status长期停留在"In Progress"且UEFICA2023Error值大于零,则证书交接已失败。
惠普提供了手动修复方案:开机反复按F10进入BIOS,在Security菜单中选择Secure Boot Configuration,勾选Microsoft Option ROM UEFI CA 2023、Microsoft UEFI CA 2023和Enable MS UEFI CA Key,保存退出重启。
系统将把暂存文件写入主板NVRAM,可能需要多次重启。进入Windows后可在PowerShell中运行`Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" -Name "UEFICA2023Status"`确认状态为"Updated"。
