Secureboot-Update bei HP Elitedesk/Prodesk G4

margro · Beitrag von **margro** » 20.05.2026, 17:23

Hallo,

da ich mit refurbished Notebooks/PCs arbeite und das Thema nicht aufschieben wollte, habe ich mich in den letzten Wochen intensiver mit dem Problem befasst.

Bei meinen HPs (Elitedesk 800 G4 SFF und Prodesk 600 G4 MT, beide Win11 25H2) war das Secureboot-Update etwas schwieriger, hat aber letzlich mit Hilfe spezieller Powershell-Scripte geklappt.
Da es für viele HP-Modelle dieser Generation 4 keine Bios/Firmwareupdates mehr gibt und das vorhandene Bios die Secureboot-Updates seitens Windows blockt, sah es zunächst schlecht aus. Der Default-Zertifikatsspeicher (der sitzt im Bios/Firmware) kann nur vom Hersteller/OEM über ein Bios/Firmwareupdate aktualisiert werden. Für den alltäglichen Betrieb reicht jedoch der Active-Zertifikatsspeicher, der aktualisiert werden kann. Ein vorübergehendes Boot-Problem kann es später nur geben, wenn durch leere Knopfzelle das Bios resetted wird oder gezielt im Bios die Zertifikate auf Default zurückgesetzt werden.

Hier die Vorgehensweise, die wahrscheinlich auch bei vielen anderen älteren Geräten funktioniert, die keine passenden Firmware-/Bios-Update mehr bekommen:
HP-Business-PCs haben im Bios einen zusätzlichen Bootschutz namens HP SureStart. Man muss im UEFI-Bios deshalb an einer bestimmten Stelle ein Häkchen entfernen, um Änderungen zuzulassen (habe jetzt keinen Screenshot zur Hand).
Mithilfe eines Powershell-Update-Scripts (wird über die "Update-UEFI.bat" gestartet) aus der Script-Sammlung "SecureBoot-CA-2023-Updates" gelang es dann, den Active-Zertifikatsspeicher mit den neuen 2023er-Zertifikaten zu versehen.
https://github.com/garlin-cant-code/Sec ... 2026.05.14

Anschließend habe ich noch die SVN aktualisiert über folgende zwei Befehle per Powershell im Administratormodus:

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

danach

Code: Alles auswählen

Start-ScheduledTask -TaskName „\Microsoft\Windows\PI\Secure-Boot-Update“

danach Neustart.

Eventuell nochmal im unten beschriebenen Script "CheckCA2023" über die Schaltfläche "Start Secure-Boot-Update Task" noch einmal das Update seitens Windows anstoßen und neustarten. Dann sollte alles als ok bzw. erledigt angezeigt werden.

Prüf-Tools:
Die angehängten Screenshots stammen aus dem Powershell-Script "CheckCA2023", dass ausführlichere Infos ausgibt als der Sioni-SecureBoot-Checker:
https://github.com/claude-boucher/CheckCA2023

https://www.deskmodder.de/blog/2026/04/ ... ol-testen/

Damit PS1-Scripte direkt (ohne Umweg über eine *.bat) ausgeführt werden können, muss die Ausführung vorübergehend erlaubt:
Set-ExecutionPolicy AllSigned
<-- Will allow signed powershell scripts to run.
und sicherheitshalber später wieder gesperrt werden:
Set-ExecutionPolicy Restricted
<-- Will not allow any powershell scripts to run. Only individual commands may be run.

Ich selbst habe mir für den häufigen Einsatz eine kurze Bat erstellt und ins gleiche Verzeichnis gespeichert:

Code: Alles auswählen

@echo off
where pwsh >nul 2>nul
if %errorlevel% equ 0 (
   pwsh -nop -ep bypass -noexit -f "%~dp0\CheckCA2023.ps1" %*
) else (
   powershell -nop -ep bypass -noexit -f "%~dp0\CheckCA2023.ps1" %*
)

Gruß
Markus

Beitrag von **Tante Google** » 20.05.2026, 17:23

Holgi · Beitrag von **Holgi** » 20.05.2026, 18:23

Dankeschön!

margro · Beitrag von **margro** » 23.05.2026, 01:38

Ergänzung zu meinem Post:
Die zu deaktivierende Option im HP-Bios heißt:
Sure Start Secure Boot Keys Protection

Zu finden im Bios unter "Sicherheit - Bios Sure Start".

Auf dem Zweitrechner (Elitedesk 800 G4 SFF) habe ich testweise die Option nachträglich wieder aktiviert. Es kam zu einer Bootschleife bzw. der Bootvorgang kam immer nur bis zum Bootlogo "Protected by HP Sure Start" oder ähnlich.
Nachdem ich sie wieder deaktiviert hatte (ein vierstelliger Zahlencode wird angezeigt und muss eingetippt werden), funktionierte wieder alles und die 2023er-Zertifikate waren noch da bzw. alles ok.

Demnach sollte nach diese Bios-Option, die ich vor dem Update der SecureBoot-Zertifikate deaktiviert hatte, auch deaktiviert bleiben!

Freundliche Grüße
Markus

bodu · Beitrag von **bodu** » 30.05.2026, 00:00

margro hat geschrieben: 20.05.2026, 17:23die wahrscheinlich auch bei vielen anderen älteren Geräten funktioniert,

Danke, der Ansatz funktioniert auf Geräten, für die ein HP KEK CA 2023 existiert.

Gibt es die
(Get-SecureBootUEFI -Name PK -Decode).SerialNumber
ohne eventuell führende Nullen auf
https://github.com/microsoft/secureboot ... e_map.json
?

Auf noch älteren Geräten, grob vor 2018 Geräten, ist über Secure Boot Setup Mode ein PK und KEK zu schreiben.
https://h30434.www3.hp.com/t5/Business- ... -p/9628370
Das genannte Script von garlin schreibt in dem Fall ein MS PK und KEK
https://github.com/microsoft/secureboot ... ertificate

g-force · Beitrag von **g-force** » 30.05.2026, 00:50

Mal anders herum gefragt: Was hat es für Folgen, wenn man das NICHT aktualisiert?

DK2000 · Beitrag von **DK2000** » 30.05.2026, 07:43

Solange Microsoft Secureboot beim Booten von Windows nicht zur Pflicht macht, ist das egal. Falls es Probleme geben sollte, Secureboot deaktivieren und gut. Bis jetzt jedenfalls.

Und das mit dem PK selber aktualisieren, das traue ich mich irgendwie nicht auf dem Tablet. Falls das überhaupt gehen sollte.