无论瘦客户端存储多少信息，其潜在影响都不低。

具体而言，风险在于攻击者在瘦客户端的操作系统中安装了诸如 rootkit 或软件键盘记录器之类的东西，您不太可能通过检查发现这些东西。（这是 Evil Maid 攻击的一种变体）。

如果将来有任何管理员使用该客户端，那么网络的游戏就会结束。瘦客户端还可以用作滩头阵地，对网络发起进一步的攻击，或进行侦察。

保护 BIOS 通过保护瘦客户端操作系统的完整性来防止这种情况发生。

这里更广泛的教训：最佳实践为您节省了评估每种风险的费用和难度，正如这个问题所表明的那样，这是很难做到的。

成本是评估风险及其缓解措施的基础。如果实施防御（最佳实践等）的成本（货币成本、运营成本、易用性成本等）超过了正在实现的风险所造成的损害，那么您有理由选择接受风险.

这是风险管理中非常基本的概念。

最佳实践不是法律而是建议。他们通常会解释为什么推荐他们。如果您认为该解释不适用于您的情况，您可以忽略该建议。您甚至可能对这种感觉是正确的，因此您可以节省成本。

但是请注意，根据您的工作环境，您不能简单地忽略该建议，而是需要记录您认为可以忽略它的原因。如果由于最佳实践被忽略而发生不好的事情，也可能是您亲自负责。因此，遵循建议通常比忽略建议更容易且风险更小。

这里有很多因素需要考虑：

1. 实施该措施的成本是多少？保护所有的 BIOS 可能会很痛苦，但不会花费大量金钱或精力。

2. 发生坏事的风险是什么？机会相当低，但影响适中（提到了键盘记录器，有人在您的系统上执行自己的代码还有许多其他问题，即它不再是您的系统）。实际风险为中低。

3. 实施有什么影响？普通用户是否有任何正当理由访问其瘦客户端的 BIOS？并不真地。

因此，我们有一些缓解措施不会花费太多，不会产生重大影响，并且可以防止中低风险。我会说这是个人实施它的一个很好的论据。