[La domanda "cosa potrebbe andare storto" è piuttosto ampia, quindi questa non è una risposta definitiva. Inoltre, non sono un professionista della sicurezza certificato di Windows, sono solo spitballing.]
@CaffeineAddiction sottolinea che quando lasci un computer bloccato, tutti i tuoi processi a livello utente sono ancora in esecuzione. Immagina che un aggressore sia in grado di piantare una backdoor, come l'esecuzione di un server FTP; questo rimarrebbe in esecuzione mentre sei bloccato, ma il processo verrebbe ucciso quando ti disconnetti. (Detto questo, questo impedisce davvero ai ragazzini di sceneggiatura perché i gruppi di hacker con abbastanza soldi per comprare gli exploit del mercato nero saranno probabilmente in grado di fare escalation dei privilegi ed esegui quel server FTP come amministratore).
RAM, file cache e accesso alla rete: non pretendo di essere un esperto qui, ma suppongo che quando si disconnette, Windows cancella RAM e file tmp di qualsiasi processo e dati di proprietà dell'utente. Ciò potrebbe vanificare un attacco di avvio a freddo , o qualsiasi altro attacco che permetta all'utente di fare un dump della RAM. I domini di Windows in genere caricano anche la cartella Documenti - e spesso un'unità di rete specifica dell'utente - da una condivisione di rete. La disconnessione chiuderà le connessioni a queste condivisioni di rete, impedendo a un utente malintenzionato di leggere i dati dal server o installando virus sul server.
Sono d'accordo con il tuo scetticismo però: se un utente malintenzionato ha accesso fisico, perché non piantare qualcosa che farà tutto quanto sopra la prossima volta che effettui il login? Il vecchio trucco di strisciare sotto la tua scrivania e attaccare un dispositivo USB dannoso nella parte posteriore, per esempio.