公共のコンピュータで使用するために、USB フラッシュ ドライブに Windows をインストールする実験をしています。このドライブは私個人のもので、Windows のインストールも私個人のものであるため、完全な管理者権限が必要です。しかし、1 つの大きな問題があるため、それができません。通常、コンピュータの BIOS は更新/フラッシュ/上書きできます。
世の中には、マザーボードの製造元から提供されるユーティリティが多数あり、それらを使用すると BIOS を更新 (フラッシュ) できます。これは、BIOS を破壊するなど、他の目的にも使用できます。私はこれを可能にしたくありませんが、Windows インストール自体には完全な管理者アクセスが必要です。
そこで、完全な管理者権限を持つ Windows インストール (USB フラッシュ ドライブから起動) から BIOS をフラッシュできないようにできるかどうか疑問に思いました。これを実現する方法はありますか?
答え1
短い答え:いいえ。
管理者権限を持っている場合は、管理者権限があります。それだけです。ユーザーが十分に信頼されてポータブル Windows インストールの使用が許可されるか、管理者権限が剥奪されるかのどちらかです。
もっと簡単な解決策としては、何らかのハイパーバイザーを起動することかもしれません。ほとんどのハイパーバイザーは、通常、ゲストから BIOS をフラッシュするためのエントリ ポイントを非表示にします。これには独自の課題がありますが、「ポータブル USB モード」と「管理者権限」を組み合わせ、「BIOS のフラッシュをブロック」せずに、適切な解決策は見つからないと思います。
また、IT スタッフはパスワードで BIOS をロックダウンできることも覚えておいてください。完璧ではありませんが、少なくとも Dell では、Windows の管理者であってもパスワードなしでフラッシュすることはできません。また、管理者権限がなくても BIOS をフラッシュするのは非常に簡単です (BIOS パスワードなし)。そのため、IT スタッフは間違った場所を調べていると思います。