Estou experimentando instalar o Windows em uma unidade flash USB para uso em computadores públicos. Como esta unidade é minha, gostaria de ter privilégios totais de administrador, já que também é minha própria instalação do Windows. No entanto, não posso por causa de um problema evidente: normalmente você consegue atualizar/flash/sobrescrever o BIOS no computador.
Existem muitos utilitários por aí, geralmente do fabricante da placa-mãe, que permitem atualizar o BIOS (atualizando-o). Isso também pode ser usado para outros fins, como corromper o BIOS. Não quero que isso seja possível, mas quero acesso total de administrador para a instalação do Windows em si.
Portanto, eu queria saber se seria possível impossibilitar a atualização do BIOS a partir de uma instalação do Windows (inicializada a partir de uma unidade flash USB) com recursos completos de administrador. Existe alguma maneira de conseguir isso?
Responder1
Resposta curta: não.
Se você tem direitos de administrador, você tem direitos de administrador - ponto final. Eles confiam em você o suficiente para permitir que você use a instalação portátil do Windows ou retiram seus direitos de administrador.
Uma solução mais simples pode ser lançar algum tipo de hipervisor, já que a maioria normalmente oculta os pontos de entrada para atualizar o BIOS de seus convidados. Isso tem seu próprio conjunto de desafios, mas acredito que você não encontrará uma boa solução que combine "modo USB portátil" com "direitos de administrador", sem "bloquear a atualização do BIOS".
Além disso, lembre-se de que a equipe de TI pode bloquear o BIOS com uma senha. Embora não seja perfeito, pelo menos nos Dells, ele impedirá que até mesmo os administradores do Windows atualizem sem a senha. Também é muito fácil (sem a senha do BIOS) atualizar um BIOS, mesmo se você não tiver direitos de administrador, então acho que a equipe de TI está procurando nas áreas erradas.