Müssen sie ja auch! Dein OS ist schließlich immer noch ein Win32.
Der Unterschied liegt ganz einfach darin, dass die System Assemblies des FrameWorks die Grundlage bilden, deshalb sind sie auch "vertrauenswürdig" (M$ weiß ja, was sie machen).
Bei jeder 3rd Party Assembly, die sich an der CLR vorbeischleicht kann nicht ausgeschlossen werden, dass irgendwelcher Mist verzapft wird.
VCL.Net braucht FullTrust
FullTrust sollten aber nur Apps benötigen, die das auch wirklich brauchen.
Es ist also unmöglich eine VCL.Net App per DirectExec aus dem Internet/Intranet zu starten ohne den User um Berechtigung anzuflehen.