Серверные и не дешевые десктопные материнки имеют функционал установки и удаления ключей подписи загрузчика (secure boot), чтобы произвести загрузку в этом режиме, код загрузчика должен быть подписан ключем, указанным как доверенный в биосе. По умолчанию там прописаны ключи, которым подписаны загрузчики всех популярных ОС (windows/linux/...), если добавить свой ключ и удалить общий ключ, то загружаться такая машина будет только операционную систему, загрузчик которой подписан твоим ключом.
Кстати относительно недавно публичный ключ менялся и в современную материнку не получится загрузиться с очень старой версией windows/linux в режиме efi (только legacy mbr при котором защита отключена)
Сбросить это батарейкой не получится (как я понимаю можно выпаять чип и впаять свой, но там тоже есть подводные камни). Кстати это намек, что ошибка в настройке secure boot может окирпичить материнскую память (т.е. либо выбрасывать либо дорого чинить).
p.s. в любом случае наличие бесконтрольного доступа к железу злоумышленника это дыра в безопасности, например он может установить в клавиатуру/кабель жучок, записывающий все нажимаемые кнопки (так можно к примеру украсть пароль шифрования диска).
на все есть свои методы защиты, и соответственно на каждую свой тип атаки... борьба вечная и очень дорогая.
