Si está utilizando cualquier tipo de nivel de preinicio o sistema operativo, o el cifrado por montaje, por lo general, mantiene todo lo protegido protegido hasta que se apague. Si cierra la sesión, pero el sistema aún necesita acceso a la aplicación que, de lo contrario, se cifraría, eso significa que aún se puede acceder a los datos y que se puede descifrar o que la clave de descifrado todavía está en la memoria. La administración de sesiones generalmente se desconecta del cifrado de archivos.
Esto significa que si tenía un malware ejecutándose en su sistema y no estaba vinculado a su sesión de usuario, continuaría ejecutándose incluso cuando se desconecta.
Desde su OP, parece que está hablando de ataques de acceso físico. Si puede conectar el sistema bloqueado a una red o usar un dispositivo USB que se hace pasar por un controlador de Ethernet, es posible que pueda falsificar su red real y realizar ataques. Un buen ejemplo es PoisonTap .
PoisonTap produce un efecto en cascada al explotar la confianza existente en varios mecanismos de una máquina y una red, incluidos USB / Thunderbolt, DHCP, DNS y HTTP, para producir un efecto de bola de nieve de exfiltración de información, acceso a la red e instalación de semis Puertas traseras permanentes.
Hay otra implementación similar, como Rob Fuller's y BadUSB . Puedes usar una aplicación como USBGuard para evitar esto.
Hipotéticamente, un atacante también puede instalar un keylogger más básico que quizás no note y luego pueden obtener su contraseña para su sesión de esta manera con acceso físico. También ha habido ataques de volcado de memoria física en el pasado y se pueden descubrir nuevos.
Como resultado, si se encuentra en un entorno no confiable en términos de acceso físico, debe hacer un cierre completo para evitar cualquier acceso a datos encriptados. Consulte también esta publicación sobre este tema.