Vai al contenuto
Avanet

Classificare in modo sicuro il Sophos SSL VPN Client nell'avvio automatico

Il vecchio Sophos SSL VPN Client for Windows può avviarsi automaticamente al login di Windows e connettersi a una specifica configurazione OpenVPN. Questo è tecnicamente possibile, ma non dovrebbe essere confuso con una raccomandazione standard sicura. Particolarmente critico è il login automatico con un file password.txt, poiché nome utente e password sono memorizzati in chiaro sul client.

Per nuove configurazioni di accesso remoto, si dovrebbe prima verificare se Sophos Connect, profili SSL-VPN aggiornati, MFA o Microsoft Entra ID SSO siano più adatti. Questa guida è principalmente destinata a vecchi ambienti, client speciali o eccezioni controllate in cui il vecchio SSL VPN Client è ancora in uso.

Distinguere tra avvio automatico, connessione automatica e login automatico

I tre termini sono spesso confusi, ma comportano rischi diversi:

FunzioneSignificatoRischio
Avvio automaticoIl client VPN si avvia al login di Windows.basso a medio
Connessione automaticaIl client si avvia direttamente con un determinato file .ovpn.medio
Login automaticoNome utente e password vengono passati automaticamente.alto

L’avvio automatico e la connessione automatica possono essere utili in determinati ambienti quando un dispositivo deve stabilire una connessione subito dopo il login. Il login automatico è invece un caso speciale. Una volta che la password è memorizzata come file sul client, la sicurezza dipende fortemente dal dispositivo Windows, dal profilo utente, dai permessi sui file, dai permessi VPN e dalla protezione contro il furto.

⚠️ Il login automatico con password.txt memorizza le credenziali in chiaro. Non dovrebbe essere utilizzato per account utente normali, amministratori, dispositivi condivisi o profili VPN con ampi permessi.

Quando questo approccio può essere utile

L’approccio dell’avvio automatico può essere utile come soluzione di transizione quando un client Windows deve aprire automaticamente una connessione SSL-VPN conosciuta dopo il login e l’ambiente non è ancora passato a Sophos Connect o a un altro modello di accesso remoto.

Casi tipici:

  • un client di manutenzione dedicato con permessi limitati
  • un sistema di laboratorio o di test
  • un dispositivo speciale che necessita di una connessione fissa dopo il login dell’utente
  • un vecchio ambiente in cui Sophos Connect non è ancora stato introdotto

L’approccio non è adatto per dispositivi utilizzati da più persone, per accessi amministrativi privilegiati, per client Windows non crittografati o mal gestiti e per ambienti in cui l’MFA deve essere applicato in modo coerente.

Prerequisiti

Prima di procedere, questi punti dovrebbero essere chiari:

  • Il vecchio Sophos SSL VPN Client è installato su Windows.
  • È disponibile una configurazione .ovpn funzionante localmente.
  • L’utente VPN interessato ha solo gli accessi realmente necessari.
  • Il dispositivo Windows è gestito, crittografato e protetto da accessi locali non autorizzati.
  • È documentato perché sono necessari la connessione automatica o il login automatico.
  • Per l’uso produttivo è disponibile un piano di rollback.

Se il client non è ancora installato, la guida Sophos SSL VPN Client su Windows con SFOS può essere utile. Per le versioni client attuali, è inoltre possibile verificare e aggiornare in modo sicuro la versione del Sophos Connect Client.

Disattivare la voce di avvio automatico esistente

Il vecchio SSL VPN Client spesso crea già una voce di avvio automatico durante l’installazione. Se si utilizza una propria riga di avvio con parametri, la voce esistente dovrebbe essere disattivata per evitare che il client si avvii due volte.

Disattivare la voce di avvio automatico del Sophos SSL VPN Client nel Task Manager di Windows
La voce di avvio automatico esistente dovrebbe essere disattivata prima di inserire un proprio comando di avvio con parametri OpenVPN.
  1. Aprire il Task Manager.
  2. Passare alla scheda Startup o Avvio automatico.
  3. Selezionare SSL VPN Client for Windows.
  4. Disattivare la voce.

Su versioni di Windows più vecchie, potrebbe essere rilevante anche la cartella di avvio automatico classica. In ambienti gestiti, dovrebbe essere verificato anche se un processo di distribuzione software o GPO ripristina la voce successivamente.

Preparare il comando per la connessione automatica

Per la connessione automatica, openvpn-gui.exe viene avviato con il percorso della cartella di configurazione e il nome del file .ovpn desiderato.

Schema:

"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect profilname.ovpn

A seconda dell’installazione di Windows e del client, i percorsi possono variare:

ComponentePercorso tipico
openvpn-gui.exe su Windows a 64 bitC:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe
openvpn-gui.exe su Windows a 32 bitC:\Program Files\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe
Cartella di configurazione su Windows a 64 bitC:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\
Cartella di configurazione su Windows a 32 bitC:\Program Files\Sophos\Sophos SSL VPN Client\config\
Cartella di configurazione del Sophos SSL VPN Client con profilo OpenVPN
Il comando di avvio deve puntare alla cartella di configurazione corretta e al file OVPN corretto.

Esempio:

"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect avanet@example-firewall.ovpn

È importante il nome esatto del file .ovpn. Se nel nome del file ci sono spazi o caratteri speciali, il comando dovrebbe essere testato con particolare attenzione. In molti ambienti, un nome di profilo breve senza spazi è più facile da gestire.

Creare l’avvio automatico nel Registro di sistema

La voce può essere inserita sotto l’utente Windows corrente in Run. In questo modo, il client si avvia al login di questo utente, non a livello di sistema prima di ogni login utente.

Creare una voce di avvio automatico del Sophos SSL VPN Client nel Registro di sistema di Windows
Una voce HKCU-Run avvia il client al login dell’utente Windows corrente.
  1. Aprire il Registry Editor.
  2. Passare a questo percorso:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  1. Nella colonna di destra, creare un nuovo String Value.
  2. Assegnare un nome univoco, ad esempio sophos-ssl-vpn.
  3. Inserire come valore il comando openvpn-gui.exe preparato.
  4. Disconnettere e riconnettere l’utente Windows.
  5. Verificare se il client si avvia e seleziona la connessione desiderata.

Se sono necessari solo avvio automatico e connessione automatica, è consigliabile fermarsi qui. In questo stato, l’utente deve continuare a inserire la password VPN. Dal punto di vista della sicurezza, questa è spesso la variante migliore.

Utilizzare il login automatico solo come eccezione

Il login automatico nel vecchio client basato su OpenVPN è controllato dalla riga auth-user-pass nel file .ovpn. Se viene specificato un file, il client legge nome utente e password da questo file.

Esempio nel file .ovpn:

auth-user-pass password.txt

Il file password.txt si trova quindi nella stessa cartella del file .ovpn e contiene due righe:

supportuser
MoltoSegretaPassword

Questo metodo è tecnicamente semplice, ma debole dal punto di vista della sicurezza. Chiunque abbia accesso al file ha le credenziali VPN. Pertanto, questa variante dovrebbe essere utilizzata solo se il rischio è stato consapevolmente accettato e limitato.

Controlli minimi per un’eccezione:

  • utente VPN dedicato solo per questo scopo
  • nessuna credenziale di amministratore o amministratore condiviso
  • policy VPN e regole firewall fortemente limitate
  • nessun accesso a reti di gestione, controller di dominio o sistemi di backup, se non strettamente necessario
  • dispositivo Windows con BitLocker o crittografia equivalente
  • nessun utente standard locale con accesso al file
  • data di scadenza o data di revisione documentata per l’eccezione

Configurare il login automatico

Se il login automatico è necessario nonostante il rischio, la modifica dovrebbe essere documentata e testata accuratamente.

  1. Avviare l’editor come amministratore.
  2. Aprire il file .ovpn utilizzato nella cartella di configurazione del Sophos SSL VPN.
  3. Cercare la riga auth-user-pass.
  4. Modificare la riga in auth-user-pass password.txt.
  5. Creare un file password.txt nella stessa cartella.
  6. Inserire il nome utente nella prima riga.
  7. Inserire la password nella seconda riga.
  8. Salvare il file.
  9. Controllare i permessi del file e rimuovere gli accessi non necessari.
  10. Riconnettere Windows e testare la connessione VPN.

Dopo il test, dovrebbe essere verificato se l’utente VPN raggiunge solo gli obiettivi previsti. Se il profilo consente reti interne troppo ampie, un workaround di comodità può rapidamente diventare un accesso di sicurezza inutilmente ampio.

Validazione dopo l’installazione

Dopo la configurazione, non basta guardare solo l’icona verde della VPN. È importante verificare se è stata stabilita esattamente la connessione prevista e se i permessi sono corretti.

Verificare:

  • Il client si avvia solo una volta?
  • Viene utilizzato il file .ovpn corretto?
  • La connessione viene stabilita solo dopo il login di Windows?
  • Funzionano la risoluzione DNS e i sistemi di destinazione interni?
  • La regola di accesso remoto prevista è attiva sul firewall?
  • Nel Log Viewer sono visibili gli eventi utente e VPN previsti?
  • L’utente VPN può raggiungere solo le reti necessarie?

Per problemi di connessione dopo un login riuscito, possono essere utili Testare la regola del firewall con Log Viewer, Policy Test e Packet Capture e Risoluzione dei problemi di Sophos Firewall: Servizi e Log. Se solo alcune applicazioni rimangono bloccate tramite VPN, dovrebbe essere verificato anche MTU e MSS in caso di problemi VPN.

Errori tipici

SintomoCausa probabileVerifica
Il client non si avviaPercorso del registro o comando erratoVerificare la voce Run e i percorsi
Il client si avvia due volteVoce di avvio automatico vecchia ancora attivaVerificare Task Manager e cartella di avvio automatico
Profilo non trovatoNome file errato o config_dir erratoConfrontare esattamente il nome .ovpn
La password viene ancora richiestaauth-user-pass password.txt non nel file OVPN attivoVerificare il profilo utilizzato e il percorso del file
Il login funziona, ma i sistemi interni non sono raggiungibiliPolicy VPN, regola firewall, DNS o routing non correttiVerificare Log Viewer, regola firewall e DNS
Il login automatico non funziona più dopo il cambio passwordpassword.txt contiene la vecchia passwordAggiornare il file password o rimuovere il login automatico

Rollback

Se il login automatico non è più necessario, dovrebbe essere completamente rimosso.

  1. Eliminare o disattivare la voce del registro sotto HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
  2. Nel file .ovpn, cambiare auth-user-pass password.txt in auth-user-pass.
  3. Eliminare password.txt.
  4. Cambiare la password VPN dell’utente interessato.
  5. Verificare sul firewall se l’utente o la regola sono ancora necessari.

Se le credenziali sono state memorizzate in chiaro per un lungo periodo, non basta eliminare il file. La password dovrebbe essere cambiata e l’accesso verificato nei log.

Checklist

  • Avvio automatico senza login automatico verificato.
  • Valutato un modello di accesso remoto migliore come Sophos Connect, MFA o Entra ID SSO.
  • Utilizzato un utente VPN dedicato, se necessario il login automatico.
  • Regole VPN e firewall limitate al minimo.
  • password.txt non utilizzato per account amministrativi o condivisi.
  • Dispositivo Windows crittografato e gestito.
  • Log Viewer mostra gli eventi VPN previsti.
  • Documentati rollback e data di revisione.

FAQ

Il login automatico con il Sophos SSL VPN Client è sicuro?

No, non come standard. Il login automatico con password.txt memorizza nome utente e password in chiaro. Questo può essere accettato in casi speciali strettamente limitati, ma non dovrebbe essere utilizzato per accessi utente o amministrativi normali.

È possibile avviare automaticamente il Sophos SSL VPN Client senza memorizzare la password?

Sì. Il client può avviarsi automaticamente e --connect con una configurazione specifica. L’utente deve quindi continuare a inserire la password.

Qual è l'alternativa migliore al login automatico?

Per nuove configurazioni, si dovrebbe considerare Sophos Connect, profili SSL-VPN aggiornati, MFA, Entra ID SSO o, a seconda dell’architettura, ZTNA. Quale variante sia adatta dipende dal sistema operativo, dall’autenticazione, dai gruppi di utenti e dai requisiti di sicurezza.

Si dovrebbe utilizzare password.txt con un account utente normale?

Solo se il rischio è stato consapevolmente accettato. È meglio un account dedicato con diritti minimi, regole firewall chiaramente limitate e una data di scadenza documentata.

Perché il client si connette automaticamente, ma i sistemi interni non sono raggiungibili?

In tal caso, il problema non è il login VPN. Spesso mancano regole firewall adeguate, impostazioni DNS, rotte o permessi nella policy di accesso remoto.