快科技5月27日消息，惠普发布支持公告，确认4月初推送的BIOS更新存在缺陷，导致大量商用笔记本、台式机和工作站陷入BitLocker恢复密钥无限循环，同时阻断微软2023 Secure Boot证书更新。

受影响范围覆盖惠普商用笔记本、商用台式机和工作站，涉及Windows 11 23H2、24H2和25H2版本。

用户安装问题BIOS更新后，电脑启动直接进入BitLocker恢复界面，即使输入正确恢复密钥成功进入桌面，系统也不会记录，下次重启再次要求输入密钥，形成死循环。

根因在于BIOS更新修改了Secure Boot变量（密钥交换密钥和签名数据库），改变了TPM芯片平台配置寄存器中记录的启动度量值，与BitLocker封印密钥时的基准不匹配，TPM拒绝释放加密密钥。

由于固件更新不稳定，新密钥和证书始终无法成功提交，固件状态与基准永远无法对齐，每次重启都触发恢复流程。

部分硬件配置还会在开机自检阶段直接卡死在惠普Logo界面，惠普 ZBook Ultra G1a等高端移动工作站用户反馈BIOS版本01.04.05 Rev A导致系统完全冻结。

由于原2011年加密密钥即将全球过期，微软要求主板厂商在2026年6月前部署更新的Secure Boot证书。

惠普的4月固件更新恰恰打断了这一关键同步链：Windows 11尝试将暂存的密钥交接给主板时，硬件遇到未处理异常。

企业管理员可通过注册表路径`HKLM:SYSTEMCurrentControlSetControlSecureBootServicing`检查，若UEFICA2023Status长期停留在In Progress且UEFICA2023Error值大于零，则证书交接已失败。

惠普提供了手动修复方案：开机反复按F10进入BIOS，在Security菜单中选择Secure Boot Configuration，勾选Microsoft Option ROM UEFI CA 2023、Microsoft UEFI CA 2023和Enable MS UEFI CA Key，保存退出重启。

系统将把暂存文件写入主板NVRAM，可能需要多次重启。进入Windows后可在PowerShell中运行`Get-ItemProperty -Path HKLM:SYSTEMCurrentControlSetControlSecureBootServicing -Name UEFICA2023Status`确认状态为Updated。