[La pregunta "qué podría salir mal" es bastante amplia, por lo que no es una respuesta definitiva. Tampoco soy un profesional de seguridad certificado de Windows, solo estoy hablando.]
@CaffeineAddiction señala que cuando dejas una computadora bloqueada, todos tus procesos de nivel de usuario todavía se están ejecutando. Imagine que un atacante puede plantar una puerta trasera, como ejecutar un servidor FTP; esto permanecerá en ejecución mientras está bloqueado, pero el proceso se anulará cuando cierre la sesión. (Dicho esto, esto solo detiene realmente a los chavales de guiones, ya que los grupos de piratas informáticos con suficiente dinero para comprar explotaciones del mercado negro probablemente podrán hacer escalada de privilegios y ejecute ese servidor FTP como administrador).
RAM, archivos de caché y acceso a la red: no pretendo ser un experto aquí, pero supongo que cuando se desconecta, Windows borra los archivos RAM y tmp de cualquier proceso y datos que posea su usuario. Esto frustraría un ataque de arranque en frío , o cualquier otro ataque que le permita al usuario descargar su RAM. Los dominios de Windows también suelen cargar su carpeta Documentos, y con frecuencia una unidad de red específica del usuario, desde un recurso compartido de red. El cierre de sesión cerrará las conexiones a estos recursos compartidos de red, ya que evitará que un atacante lea sus datos del servidor o que plantee virus en el servidor.
Sin embargo, estoy de acuerdo con su escepticismo: si un atacante tiene acceso físico, ¿por qué no plantar algo que hará todo lo anterior la próxima vez que inicie sesión? El viejo truco de rastrear debajo de tu escritorio y pegar un dispositivo USB malicioso en la parte posterior, por ejemplo.