Aller au contenu
Avanet

Classer en toute sécurité le client Sophos SSL VPN dans le démarrage automatique

L’ancien client Sophos SSL VPN pour Windows peut démarrer automatiquement lors de la connexion à Windows et se connecter à une configuration OpenVPN spécifique. Cela est techniquement possible, mais ne doit pas être confondu avec une recommandation standard sécurisée. La connexion automatique avec un password.txt est particulièrement critique, car le nom d’utilisateur et le mot de passe sont stockés en clair sur le client.

Pour les nouvelles configurations d’accès à distance, il convient d’abord de vérifier si Sophos Connect, les profils SSL VPN actuels, MFA ou Microsoft Entra ID SSO conviennent mieux. Ce guide est principalement destiné aux environnements anciens, aux clients spécialisés ou aux exceptions contrôlées où l’ancien client SSL VPN est encore utilisé.

Distinguer le démarrage automatique, la connexion automatique et la connexion automatique

Les trois termes sont souvent confondus, mais impliquent des risques différents :

FonctionSignificationRisque
Démarrage automatiqueLe client VPN démarre lors de la connexion à Windows.faible à moyen
Connexion automatiqueLe client démarre directement avec un fichier .ovpn spécifique.moyen
Connexion automatiqueLe nom d’utilisateur et le mot de passe sont transmis automatiquement.élevé

Le démarrage automatique et la connexion automatique peuvent être utiles dans certains environnements si un appareil doit établir une connexion immédiatement après la connexion. La connexion automatique est un cas particulier. Dès que le mot de passe est stocké en tant que fichier sur le client, la sécurité dépend fortement de l’appareil Windows, du profil utilisateur, des autorisations de fichier, des autorisations VPN et de la protection contre le vol.

⚠️ La connexion automatique avec password.txt stocke les informations d’identification en clair. Cela ne doit pas être utilisé pour les comptes d’utilisateurs normaux, les administrateurs, les appareils partagés ou les profils VPN largement autorisés.

Quand cette approche peut être utile

L’approche de démarrage automatique peut être une solution de transition utile si un client Windows doit ouvrir automatiquement une connexion SSL VPN connue après la connexion et que l’environnement n’a pas encore été migré vers Sophos Connect ou un autre modèle d’accès à distance.

Cas typiques :

  • un client de maintenance dédié avec des autorisations limitées
  • un système de laboratoire ou de test
  • un appareil spécialisé nécessitant une connexion fixe après la connexion de l’utilisateur
  • un ancien environnement où Sophos Connect n’a pas encore été introduit

Cette approche n’est pas adaptée aux appareils utilisés par plusieurs personnes, aux accès administratifs privilégiés, aux clients Windows non chiffrés ou mal gérés, et aux environnements où le MFA doit être appliqué de manière stricte.

Prérequis

Avant de mettre en œuvre, ces points doivent être clairs :

  • L’ancien client Sophos SSL VPN est installé sur Windows.
  • Une configuration .ovpn fonctionnelle est disponible localement.
  • L’utilisateur VPN concerné n’a que les accès réellement nécessaires.
  • L’appareil Windows est géré, chiffré et protégé contre les accès locaux non autorisés.
  • Il est documenté pourquoi la connexion automatique ou la connexion automatique est nécessaire.
  • Un plan de retour en arrière est disponible pour une utilisation productive.

Si le client n’est pas encore installé, le guide Client Sophos SSL VPN sur Windows avec SFOS peut être utile. Pour les versions actuelles du client, Vérifier et mettre à jour en toute sécurité la version du client Sophos Connect est également pertinent.

Désactiver l’entrée de démarrage automatique existante

L’ancien client SSL VPN crée souvent déjà une entrée de démarrage automatique lors de l’installation. Si une ligne de démarrage personnalisée avec des paramètres est utilisée, l’entrée existante doit d’abord être désactivée pour éviter que le client ne démarre deux fois.

Désactiver l'entrée de démarrage automatique du client Sophos SSL VPN dans le gestionnaire de tâches Windows
L’entrée de démarrage automatique existante doit être désactivée avant qu’une commande de démarrage personnalisée avec des paramètres OpenVPN ne soit ajoutée.
  1. Ouvrir le Gestionnaire de tâches.
  2. Passer à l’onglet Démarrage.
  3. Sélectionner SSL VPN Client for Windows.
  4. Désactiver l’entrée.

Pour les versions plus anciennes de Windows, le dossier de démarrage classique peut également être pertinent. Dans les environnements gérés, il convient également de vérifier si un processus de distribution de logiciels ou de GPO restaure l’entrée ultérieurement.

Préparer la commande pour la connexion automatique

Pour la connexion automatique, openvpn-gui.exe est lancé avec le chemin du dossier de configuration et le nom du fichier .ovpn souhaité.

Schéma :

"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect profilname.ovpn

Selon l’installation de Windows et du client, les chemins peuvent varier :

ÉlémentChemin typique
openvpn-gui.exe sur Windows 64 bitsC:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe
openvpn-gui.exe sur Windows 32 bitsC:\Program Files\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe
Dossier de configuration sur Windows 64 bitsC:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\
Dossier de configuration sur Windows 32 bitsC:\Program Files\Sophos\Sophos SSL VPN Client\config\
Dossier de configuration du client Sophos SSL VPN avec profil OpenVPN
La commande de démarrage doit pointer vers le bon dossier de configuration et le bon fichier OVPN.

Exemple :

"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect avanet@example-firewall.ovpn

Il est important d’avoir le nom exact du fichier .ovpn. Si le nom du fichier contient des espaces ou des caractères spéciaux, la commande doit être testée avec soin. Dans de nombreux environnements, un nom de profil court sans espaces est plus facile à gérer.

Créer un démarrage automatique dans le registre

L’entrée peut être enregistrée sous l’utilisateur Windows actuel dans Run. Cela permet au client de démarrer lors de la connexion de cet utilisateur, et non à l’échelle du système avant chaque connexion utilisateur.

Créer une entrée de démarrage automatique du client Sophos SSL VPN dans le registre Windows
Une entrée HKCU-Run démarre le client lors de la connexion de l’utilisateur Windows actuel.
  1. Ouvrir le Éditeur du Registre.
  2. Accéder à ce chemin :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  1. Créer une nouvelle valeur de chaîne dans la colonne de droite.
  2. Donner un nom unique, par exemple sophos-ssl-vpn.
  3. Insérer la commande openvpn-gui.exe préparée comme valeur.
  4. Se déconnecter et se reconnecter à Windows.
  5. Vérifier si le client démarre et sélectionne la connexion souhaitée.

Si seuls le démarrage automatique et la connexion automatique sont nécessaires, il est conseillé de s’arrêter ici. Dans cet état, l’utilisateur doit toujours entrer le mot de passe VPN. C’est généralement la meilleure option du point de vue de la sécurité.

Utiliser la connexion automatique uniquement en tant qu’exception

La connexion automatique est contrôlée dans l’ancien client basé sur OpenVPN par la ligne auth-user-pass dans le fichier .ovpn. Si un fichier est spécifié, le client lit le nom d’utilisateur et le mot de passe à partir de ce fichier.

Exemple dans le fichier .ovpn :

auth-user-pass password.txt

Le fichier password.txt est alors situé dans le même dossier que le fichier .ovpn et contient deux lignes :

supportuser
TrèsSecretMotDePasse

Cette méthode est techniquement simple, mais faible en termes de sécurité. Quiconque accède au fichier obtient les informations d’identification VPN. Par conséquent, cette variante ne doit être utilisée que si le risque est consciemment accepté et limité.

Contrôles minimaux pour une exception :

  • utilisateur VPN dédié uniquement à cet usage
  • pas de données d’identification administratives ou partagées
  • politique VPN et règles de pare-feu fortement limitées
  • pas d’accès aux réseaux de gestion, contrôleurs de domaine ou systèmes de sauvegarde, sauf si absolument nécessaire
  • appareil Windows avec BitLocker ou un chiffrement comparable
  • pas d’utilisateurs standard locaux avec accès au fichier
  • date d’expiration ou de révision documentée pour l’exception

Configurer la connexion automatique

Si la connexion automatique est nécessaire malgré le risque, la modification doit être soigneusement documentée et testée.

  1. Démarrer l’éditeur en tant qu’administrateur.
  2. Ouvrir le fichier .ovpn utilisé dans le dossier de configuration Sophos SSL VPN.
  3. Rechercher la ligne auth-user-pass.
  4. Modifier la ligne en auth-user-pass password.txt.
  5. Créer un fichier password.txt dans le même dossier.
  6. Inscrire le nom d’utilisateur sur la première ligne.
  7. Inscrire le mot de passe sur la deuxième ligne.
  8. Enregistrer le fichier.
  9. Vérifier les autorisations de fichier et supprimer les accès inutiles.
  10. Se reconnecter à Windows et tester la connexion VPN.

Après le test, il convient de vérifier si l’utilisateur VPN n’atteint que les cibles prévues. Si le profil permet des réseaux internes trop larges, une solution de contournement de confort peut rapidement devenir un accès de sécurité inutilement large.

Validation après la configuration

Après la configuration, il ne suffit pas de regarder simplement l’icône verte du VPN. Il est important de vérifier si la connexion attendue a été établie et si les droits sont corrects.

Vérifier :

  • Le client démarre-t-il une seule fois ?
  • Le bon fichier .ovpn est-il utilisé ?
  • La connexion est-elle établie uniquement après la connexion à Windows ?
  • La résolution DNS et les systèmes cibles internes fonctionnent-ils ?
  • La règle d’accès à distance attendue s’applique-t-elle sur le pare-feu ?
  • Les événements utilisateur et VPN attendus sont-ils visibles dans le Log Viewer ?
  • L’utilisateur VPN peut-il atteindre uniquement les réseaux nécessaires ?

Pour les problèmes de connexion après une connexion réussie, consultez Tester la règle de pare-feu avec Log Viewer, Policy Test et Packet Capture et Dépannage Sophos Firewall : Services et journaux. Si seules certaines applications restent bloquées via VPN, vérifiez également MTU et MSS en cas de problèmes VPN.

Erreurs typiques

SymptômeCause probableVérification
Le client ne démarre pasChemin du registre ou commande incorrecteVérifier l’entrée Run et les chemins
Le client démarre deux foisAncienne entrée de démarrage automatique encore activeVérifier le gestionnaire de tâches et le dossier de démarrage
Le profil n’est pas trouvéNom de fichier incorrect ou config_dir incorrectComparer exactement le nom .ovpn
Le mot de passe est toujours demandéauth-user-pass password.txt non dans le fichier OVPN actifVérifier le profil utilisé et le chemin du fichier
La connexion fonctionne, mais les cibles internes ne sont pas accessiblesLa politique VPN, la règle de pare-feu, le DNS ou le routage ne sont pas correctsVérifier le Log Viewer, la règle de pare-feu et le DNS
La connexion automatique ne fonctionne plus après un changement de mot de passepassword.txt contient l’ancien mot de passeMettre à jour le fichier de mot de passe ou supprimer la connexion automatique

Retour en arrière

Si la connexion automatique n’est plus nécessaire, elle doit être complètement supprimée.

  1. Supprimer ou désactiver l’entrée de registre sous HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
  2. Dans le fichier .ovpn, changer auth-user-pass password.txt en auth-user-pass.
  3. Supprimer password.txt.
  4. Changer le mot de passe VPN de l’utilisateur concerné.
  5. Vérifier sur le pare-feu si l’utilisateur ou la règle est encore nécessaire.

Si les informations d’identification ont été stockées en clair pendant une longue période, il ne suffit pas de supprimer le fichier. Le mot de passe doit être changé et l’accès vérifié dans les journaux.

Liste de contrôle

  • Démarrage automatique sans connexion automatique vérifié.
  • Meilleur modèle d’accès à distance comme Sophos Connect, MFA ou Entra ID SSO évalué.
  • Utilisateur VPN dédié utilisé si la connexion automatique est nécessaire.
  • Règles VPN et de pare-feu limitées au minimum.
  • password.txt non utilisé pour les comptes administratifs ou partagés.
  • Appareil Windows chiffré et géré.
  • Log Viewer affiche les événements VPN attendus.
  • Retour en arrière et date de révision documentés.

FAQ

La connexion automatique avec le client Sophos SSL VPN est-elle sécurisée ?

Non, pas en tant que norme. La connexion automatique avec password.txt stocke le nom d’utilisateur et le mot de passe en clair. Cela peut être accepté dans des cas spéciaux strictement limités, mais ne doit pas être utilisé pour des accès utilisateur ou administrateur normaux.

Peut-on démarrer automatiquement le client Sophos SSL VPN sans enregistrer le mot de passe ?

Oui. Le client peut démarrer automatiquement et --connect avec une configuration spécifique. L’utilisateur doit alors toujours entrer le mot de passe.

Quelle est la meilleure alternative à la connexion automatique ?

Pour les nouvelles configurations, il convient d’examiner Sophos Connect, les profils SSL VPN actuels, MFA, Entra ID SSO ou, selon l’architecture, ZTNA. La variante qui convient dépend du système d’exploitation, de l’authentification, des groupes d’utilisateurs et des exigences de sécurité.

Devrait-on utiliser password.txt avec un compte utilisateur normal ?

Seulement si le risque est consciemment accepté. Il est préférable d’utiliser un compte dédié avec des droits minimaux, des règles de pare-feu clairement limitées et une date d’expiration documentée.

Pourquoi le client se connecte-t-il automatiquement, mais les systèmes internes ne sont pas accessibles ?

Dans ce cas, la connexion VPN n’est pas le problème principal. Souvent, il manque des règles de pare-feu appropriées, des paramètres DNS, des routes ou des autorisations dans la politique d’accès à distance.