[“可能出什么问题”的问题相当广泛，因此这不是一个确定的答案。我也不是 Windows 认证的安全专家，我只是在吐槽。]

@CaffeineAddiction 指出，当您锁定计算机时，您的所有用户级进程仍在运行。想象一下，攻击者能够植入后门，例如运行 FTP 服务器；这将在您被锁定时继续运行，但当您注销时该进程会被终止。（也就是说，这只会真正阻止脚本小子，因为有足够资金购买黑市漏洞的黑客组织可能能够进行权限升级并以管理员身份运行该 FTP 服务器）。

RAM、缓存文件和网络访问：我不声称自己是这里的专家，但我假设当您注销时，Windows 会清除您用户拥有的任何进程和数据的 RAM 和 tmp 文件。这将阻止冷启动攻击或任何其他允许用户转储 RAM 的攻击。Windows 域通常还从网络共享加载您的 Documents 文件夹 - 通常是用户特定的网络驱动器。注销将关闭与这些网络共享的连接 - 既可以防止攻击者从服务器读取您的数据，也可以将病毒植入服务器。

不过，我确实同意您的怀疑：如果攻击者具有物理访问权限，为什么不在您下次登录时植入能够完成上述所有操作的东西呢？例如，在您的办公桌下爬行并将恶意 USB 设备粘在后面的老把戏。