Secureboot-Update bei HP Elitedesk/Prodesk G4
Verfasst: 20.05.2026, 17:23
Hallo,
da ich mit refurbished Notebooks/PCs arbeite und das Thema nicht aufschieben wollte, habe ich mich in den letzten Wochen intensiver mit dem Problem befasst.
Bei meinen HPs (Elitedesk 800 G4 SFF und Prodesk 600 G4 MT, beide Win11 25H2) war das Secureboot-Update etwas schwieriger, hat aber letzlich mit Hilfe spezieller Powershell-Scripte geklappt.
Da es für viele HP-Modelle dieser Generation 4 keine Bios/Firmwareupdates mehr gibt und das vorhandene Bios die Secureboot-Updates seitens Windows blockt, sah es zunächst schlecht aus. Der Default-Zertifikatsspeicher (der sitzt im Bios/Firmware) kann nur vom Hersteller/OEM über ein Bios/Firmwareupdate aktualisiert werden. Für den alltäglichen Betrieb reicht jedoch der Active-Zertifikatsspeicher, der aktualisiert werden kann. Ein vorübergehendes Boot-Problem kann es später nur geben, wenn durch leere Knopfzelle das Bios resetted wird oder gezielt im Bios die Zertifikate auf Default zurückgesetzt werden.
Hier die Vorgehensweise, die wahrscheinlich auch bei vielen anderen älteren Geräten funktioniert, die keine passenden Firmware-/Bios-Update mehr bekommen:
HP-Business-PCs haben im Bios einen zusätzlichen Bootschutz namens HP SureStart. Man muss im UEFI-Bios deshalb an einer bestimmten Stelle ein Häkchen entfernen, um Änderungen zuzulassen (habe jetzt keinen Screenshot zur Hand).
Mithilfe eines Powershell-Update-Scripts (wird über die "Update-UEFI.bat" gestartet) aus der Script-Sammlung "SecureBoot-CA-2023-Updates" gelang es dann, den Active-Zertifikatsspeicher mit den neuen 2023er-Zertifikaten zu versehen.
https://github.com/garlin-cant-code/Sec ... 2026.05.14
Anschließend habe ich noch die SVN aktualisiert über folgende zwei Befehle per Powershell im Administratormodus:
danach
danach Neustart.
Eventuell nochmal im unten beschriebenen Script "CheckCA2023" über die Schaltfläche "Start Secure-Boot-Update Task" noch einmal das Update seitens Windows anstoßen und neustarten. Dann sollte alles als ok bzw. erledigt angezeigt werden.
Prüf-Tools:
Die angehängten Screenshots stammen aus dem Powershell-Script "CheckCA2023", dass ausführlichere Infos ausgibt als der Sioni-SecureBoot-Checker:
https://github.com/claude-boucher/CheckCA2023
https://www.deskmodder.de/blog/2026/04/ ... ol-testen/
Damit PS1-Scripte direkt (ohne Umweg über eine *.bat) ausgeführt werden können, muss die Ausführung vorübergehend erlaubt:
Set-ExecutionPolicy AllSigned
<-- Will allow signed powershell scripts to run.
und sicherheitshalber später wieder gesperrt werden:
Set-ExecutionPolicy Restricted
<-- Will not allow any powershell scripts to run. Only individual commands may be run.
Ich selbst habe mir für den häufigen Einsatz eine kurze Bat erstellt und ins gleiche Verzeichnis gespeichert:
Gruß
Markus
da ich mit refurbished Notebooks/PCs arbeite und das Thema nicht aufschieben wollte, habe ich mich in den letzten Wochen intensiver mit dem Problem befasst.
Bei meinen HPs (Elitedesk 800 G4 SFF und Prodesk 600 G4 MT, beide Win11 25H2) war das Secureboot-Update etwas schwieriger, hat aber letzlich mit Hilfe spezieller Powershell-Scripte geklappt.
Da es für viele HP-Modelle dieser Generation 4 keine Bios/Firmwareupdates mehr gibt und das vorhandene Bios die Secureboot-Updates seitens Windows blockt, sah es zunächst schlecht aus. Der Default-Zertifikatsspeicher (der sitzt im Bios/Firmware) kann nur vom Hersteller/OEM über ein Bios/Firmwareupdate aktualisiert werden. Für den alltäglichen Betrieb reicht jedoch der Active-Zertifikatsspeicher, der aktualisiert werden kann. Ein vorübergehendes Boot-Problem kann es später nur geben, wenn durch leere Knopfzelle das Bios resetted wird oder gezielt im Bios die Zertifikate auf Default zurückgesetzt werden.
Hier die Vorgehensweise, die wahrscheinlich auch bei vielen anderen älteren Geräten funktioniert, die keine passenden Firmware-/Bios-Update mehr bekommen:
HP-Business-PCs haben im Bios einen zusätzlichen Bootschutz namens HP SureStart. Man muss im UEFI-Bios deshalb an einer bestimmten Stelle ein Häkchen entfernen, um Änderungen zuzulassen (habe jetzt keinen Screenshot zur Hand).
Mithilfe eines Powershell-Update-Scripts (wird über die "Update-UEFI.bat" gestartet) aus der Script-Sammlung "SecureBoot-CA-2023-Updates" gelang es dann, den Active-Zertifikatsspeicher mit den neuen 2023er-Zertifikaten zu versehen.
https://github.com/garlin-cant-code/Sec ... 2026.05.14
Anschließend habe ich noch die SVN aktualisiert über folgende zwei Befehle per Powershell im Administratormodus:
Code: Alles auswählen
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /fCode: Alles auswählen
Start-ScheduledTask -TaskName „\Microsoft\Windows\PI\Secure-Boot-Update“Eventuell nochmal im unten beschriebenen Script "CheckCA2023" über die Schaltfläche "Start Secure-Boot-Update Task" noch einmal das Update seitens Windows anstoßen und neustarten. Dann sollte alles als ok bzw. erledigt angezeigt werden.
Prüf-Tools:
Die angehängten Screenshots stammen aus dem Powershell-Script "CheckCA2023", dass ausführlichere Infos ausgibt als der Sioni-SecureBoot-Checker:
https://github.com/claude-boucher/CheckCA2023
https://www.deskmodder.de/blog/2026/04/ ... ol-testen/
Damit PS1-Scripte direkt (ohne Umweg über eine *.bat) ausgeführt werden können, muss die Ausführung vorübergehend erlaubt:
Set-ExecutionPolicy AllSigned
<-- Will allow signed powershell scripts to run.
und sicherheitshalber später wieder gesperrt werden:
Set-ExecutionPolicy Restricted
<-- Will not allow any powershell scripts to run. Only individual commands may be run.
Ich selbst habe mir für den häufigen Einsatz eine kurze Bat erstellt und ins gleiche Verzeichnis gespeichert:
Code: Alles auswählen
@echo off
where pwsh >nul 2>nul
if %errorlevel% equ 0 (
pwsh -nop -ep bypass -noexit -f "%~dp0\CheckCA2023.ps1" %*
) else (
powershell -nop -ep bypass -noexit -f "%~dp0\CheckCA2023.ps1" %*
)Markus
