Classificare in modo sicuro il Sophos SSL VPN Client nell'avvio automatico
Il vecchio Sophos SSL VPN Client for Windows può avviarsi automaticamente al login di Windows e connettersi a una specifica configurazione OpenVPN. Questo è tecnicamente possibile, ma non dovrebbe essere confuso con una raccomandazione standard sicura. Particolarmente critico è il login automatico con un file password.txt, poiché nome utente e password sono memorizzati in chiaro sul client.
Per nuove configurazioni di accesso remoto, si dovrebbe prima verificare se Sophos Connect, profili SSL-VPN aggiornati, MFA o Microsoft Entra ID SSO siano più adatti. Questa guida è principalmente destinata a vecchi ambienti, client speciali o eccezioni controllate in cui il vecchio SSL VPN Client è ancora in uso.
Distinguere tra avvio automatico, connessione automatica e login automatico
I tre termini sono spesso confusi, ma comportano rischi diversi:
| Funzione | Significato | Rischio |
|---|---|---|
| Avvio automatico | Il client VPN si avvia al login di Windows. | basso a medio |
| Connessione automatica | Il client si avvia direttamente con un determinato file .ovpn. | medio |
| Login automatico | Nome utente e password vengono passati automaticamente. | alto |
L’avvio automatico e la connessione automatica possono essere utili in determinati ambienti quando un dispositivo deve stabilire una connessione subito dopo il login. Il login automatico è invece un caso speciale. Una volta che la password è memorizzata come file sul client, la sicurezza dipende fortemente dal dispositivo Windows, dal profilo utente, dai permessi sui file, dai permessi VPN e dalla protezione contro il furto.
⚠️ Il login automatico con
password.txtmemorizza le credenziali in chiaro. Non dovrebbe essere utilizzato per account utente normali, amministratori, dispositivi condivisi o profili VPN con ampi permessi.
Quando questo approccio può essere utile
L’approccio dell’avvio automatico può essere utile come soluzione di transizione quando un client Windows deve aprire automaticamente una connessione SSL-VPN conosciuta dopo il login e l’ambiente non è ancora passato a Sophos Connect o a un altro modello di accesso remoto.
Casi tipici:
- un client di manutenzione dedicato con permessi limitati
- un sistema di laboratorio o di test
- un dispositivo speciale che necessita di una connessione fissa dopo il login dell’utente
- un vecchio ambiente in cui Sophos Connect non è ancora stato introdotto
L’approccio non è adatto per dispositivi utilizzati da più persone, per accessi amministrativi privilegiati, per client Windows non crittografati o mal gestiti e per ambienti in cui l’MFA deve essere applicato in modo coerente.
Prerequisiti
Prima di procedere, questi punti dovrebbero essere chiari:
- Il vecchio Sophos SSL VPN Client è installato su Windows.
- È disponibile una configurazione
.ovpnfunzionante localmente. - L’utente VPN interessato ha solo gli accessi realmente necessari.
- Il dispositivo Windows è gestito, crittografato e protetto da accessi locali non autorizzati.
- È documentato perché sono necessari la connessione automatica o il login automatico.
- Per l’uso produttivo è disponibile un piano di rollback.
Se il client non è ancora installato, la guida Sophos SSL VPN Client su Windows con SFOS può essere utile. Per le versioni client attuali, è inoltre possibile verificare e aggiornare in modo sicuro la versione del Sophos Connect Client.
Disattivare la voce di avvio automatico esistente
Il vecchio SSL VPN Client spesso crea già una voce di avvio automatico durante l’installazione. Se si utilizza una propria riga di avvio con parametri, la voce esistente dovrebbe essere disattivata per evitare che il client si avvii due volte.

- Aprire il Task Manager.
- Passare alla scheda Startup o Avvio automatico.
- Selezionare SSL VPN Client for Windows.
- Disattivare la voce.
Su versioni di Windows più vecchie, potrebbe essere rilevante anche la cartella di avvio automatico classica. In ambienti gestiti, dovrebbe essere verificato anche se un processo di distribuzione software o GPO ripristina la voce successivamente.
Preparare il comando per la connessione automatica
Per la connessione automatica, openvpn-gui.exe viene avviato con il percorso della cartella di configurazione e il nome del file .ovpn desiderato.
Schema:
"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect profilname.ovpn
A seconda dell’installazione di Windows e del client, i percorsi possono variare:
| Componente | Percorso tipico |
|---|---|
openvpn-gui.exe su Windows a 64 bit | C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe |
openvpn-gui.exe su Windows a 32 bit | C:\Program Files\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe |
| Cartella di configurazione su Windows a 64 bit | C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\ |
| Cartella di configurazione su Windows a 32 bit | C:\Program Files\Sophos\Sophos SSL VPN Client\config\ |

Esempio:
"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect avanet@example-firewall.ovpn
È importante il nome esatto del file .ovpn. Se nel nome del file ci sono spazi o caratteri speciali, il comando dovrebbe essere testato con particolare attenzione. In molti ambienti, un nome di profilo breve senza spazi è più facile da gestire.
Creare l’avvio automatico nel Registro di sistema
La voce può essere inserita sotto l’utente Windows corrente in Run. In questo modo, il client si avvia al login di questo utente, non a livello di sistema prima di ogni login utente.

- Aprire il Registry Editor.
- Passare a questo percorso:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Nella colonna di destra, creare un nuovo String Value.
- Assegnare un nome univoco, ad esempio
sophos-ssl-vpn. - Inserire come valore il comando
openvpn-gui.exepreparato. - Disconnettere e riconnettere l’utente Windows.
- Verificare se il client si avvia e seleziona la connessione desiderata.
Se sono necessari solo avvio automatico e connessione automatica, è consigliabile fermarsi qui. In questo stato, l’utente deve continuare a inserire la password VPN. Dal punto di vista della sicurezza, questa è spesso la variante migliore.
Utilizzare il login automatico solo come eccezione
Il login automatico nel vecchio client basato su OpenVPN è controllato dalla riga auth-user-pass nel file .ovpn. Se viene specificato un file, il client legge nome utente e password da questo file.
Esempio nel file .ovpn:
auth-user-pass password.txt
Il file password.txt si trova quindi nella stessa cartella del file .ovpn e contiene due righe:
supportuser
MoltoSegretaPassword
Questo metodo è tecnicamente semplice, ma debole dal punto di vista della sicurezza. Chiunque abbia accesso al file ha le credenziali VPN. Pertanto, questa variante dovrebbe essere utilizzata solo se il rischio è stato consapevolmente accettato e limitato.
Controlli minimi per un’eccezione:
- utente VPN dedicato solo per questo scopo
- nessuna credenziale di amministratore o amministratore condiviso
- policy VPN e regole firewall fortemente limitate
- nessun accesso a reti di gestione, controller di dominio o sistemi di backup, se non strettamente necessario
- dispositivo Windows con BitLocker o crittografia equivalente
- nessun utente standard locale con accesso al file
- data di scadenza o data di revisione documentata per l’eccezione
Configurare il login automatico
Se il login automatico è necessario nonostante il rischio, la modifica dovrebbe essere documentata e testata accuratamente.
- Avviare l’editor come amministratore.
- Aprire il file
.ovpnutilizzato nella cartella di configurazione del Sophos SSL VPN. - Cercare la riga
auth-user-pass. - Modificare la riga in
auth-user-pass password.txt. - Creare un file
password.txtnella stessa cartella. - Inserire il nome utente nella prima riga.
- Inserire la password nella seconda riga.
- Salvare il file.
- Controllare i permessi del file e rimuovere gli accessi non necessari.
- Riconnettere Windows e testare la connessione VPN.
Dopo il test, dovrebbe essere verificato se l’utente VPN raggiunge solo gli obiettivi previsti. Se il profilo consente reti interne troppo ampie, un workaround di comodità può rapidamente diventare un accesso di sicurezza inutilmente ampio.
Validazione dopo l’installazione
Dopo la configurazione, non basta guardare solo l’icona verde della VPN. È importante verificare se è stata stabilita esattamente la connessione prevista e se i permessi sono corretti.
Verificare:
- Il client si avvia solo una volta?
- Viene utilizzato il file
.ovpncorretto? - La connessione viene stabilita solo dopo il login di Windows?
- Funzionano la risoluzione DNS e i sistemi di destinazione interni?
- La regola di accesso remoto prevista è attiva sul firewall?
- Nel Log Viewer sono visibili gli eventi utente e VPN previsti?
- L’utente VPN può raggiungere solo le reti necessarie?
Per problemi di connessione dopo un login riuscito, possono essere utili Testare la regola del firewall con Log Viewer, Policy Test e Packet Capture e Risoluzione dei problemi di Sophos Firewall: Servizi e Log. Se solo alcune applicazioni rimangono bloccate tramite VPN, dovrebbe essere verificato anche MTU e MSS in caso di problemi VPN.
Errori tipici
| Sintomo | Causa probabile | Verifica |
|---|---|---|
| Il client non si avvia | Percorso del registro o comando errato | Verificare la voce Run e i percorsi |
| Il client si avvia due volte | Voce di avvio automatico vecchia ancora attiva | Verificare Task Manager e cartella di avvio automatico |
| Profilo non trovato | Nome file errato o config_dir errato | Confrontare esattamente il nome .ovpn |
| La password viene ancora richiesta | auth-user-pass password.txt non nel file OVPN attivo | Verificare il profilo utilizzato e il percorso del file |
| Il login funziona, ma i sistemi interni non sono raggiungibili | Policy VPN, regola firewall, DNS o routing non corretti | Verificare Log Viewer, regola firewall e DNS |
| Il login automatico non funziona più dopo il cambio password | password.txt contiene la vecchia password | Aggiornare il file password o rimuovere il login automatico |
Rollback
Se il login automatico non è più necessario, dovrebbe essere completamente rimosso.
- Eliminare o disattivare la voce del registro sotto
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. - Nel file
.ovpn, cambiareauth-user-pass password.txtinauth-user-pass. - Eliminare
password.txt. - Cambiare la password VPN dell’utente interessato.
- Verificare sul firewall se l’utente o la regola sono ancora necessari.
Se le credenziali sono state memorizzate in chiaro per un lungo periodo, non basta eliminare il file. La password dovrebbe essere cambiata e l’accesso verificato nei log.
Checklist
- Avvio automatico senza login automatico verificato.
- Valutato un modello di accesso remoto migliore come Sophos Connect, MFA o Entra ID SSO.
- Utilizzato un utente VPN dedicato, se necessario il login automatico.
- Regole VPN e firewall limitate al minimo.
password.txtnon utilizzato per account amministrativi o condivisi.- Dispositivo Windows crittografato e gestito.
- Log Viewer mostra gli eventi VPN previsti.
- Documentati rollback e data di revisione.
FAQ
Il login automatico con il Sophos SSL VPN Client è sicuro?
password.txt memorizza nome utente e password in chiaro. Questo può essere accettato in casi speciali strettamente limitati, ma non dovrebbe essere utilizzato per accessi utente o amministrativi normali.È possibile avviare automaticamente il Sophos SSL VPN Client senza memorizzare la password?
--connect con una configurazione specifica. L’utente deve quindi continuare a inserire la password.