En fait, à ce moment-là, tu es sur un compte spécial nommé "System". Tous les services sont actifs, de même que tous les processus non liés à un utilisateur particulier (par exemple, Svchost est actif et donc la connexion réseau aussi, mais pas Explorer.exe). Les programmes lancés au démarrage d'une session sont inactifs.
Il y a des vidéos en ligne montrant comment on peut malgré tout exécuter des programmes dans ce mode (souvent pour dépanner quand une session ne peut pas se lancer) et on se rend compte qu'une Invite de commande lancée depuis l'écran de connexion a d'office les droits administrateur. C'est un peu inquiétant mais vu qu'il faut renommer des exécutables avant de pouvoir faire ça, le risque est limité.
On peut donc et au mieux dire que la surface d'attaque est réduite, mais jamais autant que si le PC était éteint ou en veille (encore qu'avec la possibilité de Wake on LAN, ce n'est pas non plus un rempart infranchissable dans l'absolu). Pour ce qui est de l'antivirus, peut-être que la partie service fonctionne mais pas le programme qui permet de le paramétrer vu que lui est exécuté au démarrage de la session utilisateur.
Si tu veux rajouter de la sécurité, il faut que tu fasses ceci : ça va forcer les utilisateurs à composer la combinaison Ctrl-Alt-Suppr avant de pouvoir se connecter. Comme c'est une commande système très particulière et que ça bloque l'usage de la machine (pour une personne physique, en tout cas) tant qu'elle n'est pas effectuée.
