连接技术与未来 IT 新闻

惠普承认其最新BIOS更新导致Windows 11 BitLocker循环锁定,阻碍2023年安全启动修复

IT 新闻 / 惠普承认其最新BIOS更新导致Windows 11 BitLocker循环锁定,阻碍2023年安全启动修复
2026.05.30 WindowsLatest
HP confirms premium laptops are stuck in BitLocker recovery loops after recent BIOS updates惠普确认高端笔记本在近期BIOS更新后陷入BitLocker恢复循环

一波广泛的系统故障影响了惠普高端商业笔记本、台式机和高端工作站的用户。于2026年4月初接受惠普发布的重要固件更新的用户发现,他们价值数千美元的设备变成了无法使用的硬件,或陷入了无休止的BitLocker恢复循环。

在用户投诉持续增加数周后,惠普正式发布支持公告确认了该漏洞。公告指出,问题影响了大量企业硬件,包括所有运行Windows 11 23H2、24H2和25H2版本的惠普商业笔记本、商业台式机和工作站电脑。

BitLocker recovery screen

顾名思义,这个问题对最终用户极为烦人。安装了有缺陷的BIOS更新后,电脑会直接进入BitLocker恢复界面。即使用户输入了正确的恢复密钥并成功进入桌面,操作系统也不会注册这一变化,导致下一次重启时又回到同样的BitLocker恢复循环。

惠普还确认,在发生此BitLocker问题时,微软2023年的安全启动证书可能无法成功安装到电脑上。

惠普设备的固件故障阻碍微软关键的安全启动更新

随着PC行业即将迎来重要的安全里程碑,微软近日透露,如果忽视2026年6月的安全启动截止日期,Windows 11 PC将面临何种状况。因2011年原始加密密钥全球到期,主板厂商需部署更新的证书。在此过程中,Windows 11中可能出现一个新的Secure Boot文件夹,这并非错误,而是用于存放这些固件密钥的临时区域。

SecureBoot folder in Windows 11 C drive

遗憾的是,惠普4月的固件更新破坏了这个关键的同步链。当Windows 11尝试将暂存的密钥传递给主板时,硬件遇到未处理的异常,导致系统不断请求加密密钥。

Windows Latest发布了详细报告,揭示为何Windows 11的2023年安全启动更新在部分电脑上失败,暴露出更广泛的固件问题。

企业管理员可通过打开Windows注册表检查SecureBoot Servicing路径确认故障。如果UEFICA2023Status注册字符串长时间停留在“进行中”状态,且UEFICA2023Error注册值显示任何非零数字,则表示证书传递完全失败。

惠普解释部分Windows 11电脑BIOS更新后无法启动的原因

正如Windows Latest首次发现的那样,惠普已正式发布关注BitLocker恢复循环问题的支持文档。该问题可能与2026年4月初惠普社区论坛上出现的严重启动冻结缺陷相关联。

包括使用尊贵平台HP ZBook Ultra G1a移动工作站的高端用户报告称,关键BIOS更新版本01.04.05 Rev A导致系统在启动Logo阶段完全冻结。

当有Bug的BIOS更新安装时,会尝试修改主板内的安全启动变量,通常是密钥交换密钥和签名数据库(部分情况下还包括平台密钥)。对于部分硬件配置,此突发修改可能在早期自检阶段引入固件不兼容或验证错误,导致启动失败,系统停留在品牌Logo界面。

对于能够通过初步硬件检测的系统,修改后的固件更改了可信平台模块(TPM)芯片中平台配置寄存器记录的启动测量值。因这些测量值已不再与BitLocker密钥绑定的值匹配,芯片拒绝释放加密密钥,迫使Windows 11要求输入BitLocker恢复密钥。

此危机形成循环,原因在于安全启动证书更新流程未能完成。

由于固件更新不稳定,新密钥与证书未能成功提交,固件状态与封存基线未能同步,导致平台每次重启都认为自身被篡改,直至更新完成或BitLocker被暂停。

惠普在支持文档中指出:“输入正确的BitLocker密码后,电脑可以成功启动操作系统,但重启时可能仍会回到同一BitLocker恢复界面。发生此BitLocker问题时,微软2023年的证书可能无法正确应用于电脑。”

如何手动解决惠普BIOS导致的BitLocker恢复循环

对于当前被锁定无法使用电脑的用户,惠普提供了通过主板设置界面手动操作的多步骤解决方案以强制通过。

如果您是试图通过远程设备管理工具批量推送此配置更改的IT专业人员,务必确保在修改任何固件环境前,网络中的BitLocker加密已完全暂停。

  • 开机时重复按F10键,直到出现惠普Logo以进入BIOS配置页面。 HP BIOS Homepage
  • 打开安全菜单,选择安全启动配置Secure Boot Configuration in HP BIOS
  • 在配置页面,勾选启用Microsoft Option ROM UEFI CA 2023、Microsoft UEFI CA 2023以及启用MS UEFI CA密钥的选项。 Enabling Secure Boot certifications in HP BIOS
  • 保存更改,退出界面,重启电脑。

    • 重启后,操作系统最终会将暂存文件刷新写入主板NVRAM。您可能会注意到电脑会多次自动重启,以正确应用2023年的安全启动更新。

    Windows环境加载后,可运行PowerShell脚本确认UEFICA2023Status注册字符串显示为已更新。打开PowerShell并执行以下命令:

    Get-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing” -Name “UEFICA2023Status”

    Secure Boot UEFICA2023Status shows Not Started安全启动UEFICA2023Status显示为未开始Secure Boot UEFICA2023Status shows Updated安全启动UEFICA2023Status显示为已更新

    有趣的是,惠普建议,更新成功后,注重安全的用户应重新进入BIOS,取消勾选上述选项,以保持尽可能严格的安全基线,前提是不使用第三方特殊启动加载器。

    惠普此前在接受The Register采访时表示已关注启动问题,但未确认Windows Latest发现的BitLocker恢复循环。

    Windows 11硬件质量提升行动已启动

    惠普的启动与BitLocker恢复问题正值PC行业进行大规模质量升级之际。微软过去数月一直与主要硬件厂商协作,清理底层系统代码。

    微软已承认不良驱动损坏了Windows 11设备。在2026年WinHEC大会上宣布的新倡议将强制硬件制造商交付更洁净、深度优化的代码。

    近期硬件工程峰会上,业界也公开承诺摒弃不稳定的部署方式,旨在防止劣质驱动引发的崩溃、过热和续航问题。

    DQI Driver Quality Initiative for Windows 11

    然而,正如此次惠普事件所示,强迫硬件厂商快速更新固件以满足严苛的安全期限,有时会适得其反。当电脑制造商匆忙推出更新以配合新的Windows平台要求时,缺少严格验证很容易绕过自动遥测检查,企业用户只能承担后果。

    令我恼火的是,这些问题不该发生在超高端设备上。企业客户购买专业设备时期待绝对稳定,却发现自己成了核心系统更新的测试员。

    不管怎样,如果您管理一批惠普EliteBook、ProBook或ZBook工作站,强烈建议您将内部错误日志与惠普提供的注册表值交叉核对。在推送任何待更新的春季固件前,务必确保您的部署团队充分了解手动F10 BIOS解决方案。

    Scroll