Przejdz do tresci
Avanet

Bezpieczne umieszczanie klienta Sophos SSL VPN w autostarcie

Stary Sophos SSL VPN Client for Windows może automatycznie uruchamiać się przy logowaniu do Windows i łączyć z określoną konfiguracją OpenVPN. Jest to technicznie możliwe, ale nie powinno być mylone z bezpieczną rekomendacją standardową. Szczególnie krytyczny jest Auto-Login z użyciem password.txt, ponieważ nazwa użytkownika i hasło są wtedy przechowywane w postaci jawnej na kliencie.

Dla nowych konfiguracji zdalnego dostępu należy najpierw sprawdzić, czy Sophos Connect, aktualne profile SSL-VPN, MFA lub Microsoft Entra ID SSO lepiej pasują. Niniejsza instrukcja jest przeznaczona głównie dla starszych środowisk, specjalnych klientów lub kontrolowanych wyjątków, w których nadal używany jest stary klient SSL VPN.

Rozróżnianie Autostart, Auto-Connect i Auto-Login

Te trzy pojęcia są często mylone, ale oznaczają różne ryzyka:

FunkcjaZnaczenieRyzyko
AutostartKlient VPN uruchamia się przy logowaniu do Windows.niskie do średniego
Auto-ConnectKlient uruchamia się bezpośrednio z określonym plikiem .ovpn.średnie
Auto-LoginNazwa użytkownika i hasło są przekazywane automatycznie.wysokie

Autostart i Auto-Connect mogą być sensowne w określonych środowiskach, gdy urządzenie ma nawiązać połączenie zaraz po zalogowaniu. Auto-Login jest natomiast przypadkiem szczególnym. Gdy hasło jest przechowywane jako plik na kliencie, bezpieczeństwo zależy w dużej mierze od urządzenia z Windows, profilu użytkownika, uprawnień do plików, uprawnień VPN i ochrony przed kradzieżą.

⚠️ Auto-Login z password.txt przechowuje dane logowania w postaci jawnej. Nie powinno się tego używać dla zwykłych kont użytkowników, administratorów, współdzielonych urządzeń ani szeroko uprawnionych profili VPN.

Kiedy ten sposób może być sensowny

Podejście z autostartem może być sensowne jako rozwiązanie przejściowe, gdy klient Windows ma automatycznie otworzyć znane połączenie SSL-VPN po zalogowaniu, a środowisko nie zostało jeszcze przestawione na Sophos Connect lub inny model zdalnego dostępu.

Typowe przypadki:

  • dedykowany klient serwisowy z ograniczonymi uprawnieniami
  • system laboratoryjny lub testowy
  • specjalne urządzenie, które po zalogowaniu użytkownika potrzebuje stałego połączenia
  • starsze środowisko, w którym Sophos Connect nie został jeszcze wprowadzony

Podejście to nie jest odpowiednie dla urządzeń używanych przez wiele osób, dla uprzywilejowanych dostępów administracyjnych, dla niezaszyfrowanych lub źle zarządzanych klientów Windows oraz dla środowisk, w których MFA jest konsekwentnie wymuszane.

Wymagania

Przed wdrożeniem należy upewnić się, że:

  • Stary klient Sophos SSL VPN jest zainstalowany na Windows.
  • Działa lokalna konfiguracja .ovpn.
  • Użytkownik VPN ma tylko naprawdę potrzebne dostępy.
  • Urządzenie z Windows jest zarządzane, zaszyfrowane i chronione przed lokalnym dostępem osób trzecich.
  • Jest udokumentowane, dlaczego potrzebne są Auto-Connect lub Auto-Login.
  • Dla produkcyjnego użycia istnieje plan wycofania.

Jeśli klient nie jest jeszcze zainstalowany, pomocna będzie instrukcja Sophos SSL VPN Client na Windows z SFOS. Dla aktualnych wersji klienta dodatkowo pasuje Sprawdzenie wersji klienta Sophos Connect i bezpieczna aktualizacja.

Dezaktywacja istniejącego wpisu autostartu

Stary klient SSL VPN często tworzy już wpis autostartu podczas instalacji. Jeśli używana jest własna linia autostartu z parametrami, należy najpierw dezaktywować istniejący wpis, aby klient nie uruchamiał się podwójnie.

Dezaktywacja wpisu autostartu klienta Sophos SSL VPN w Menedżerze zadań Windows
Istniejący wpis autostartu powinien być dezaktywowany, zanim zostanie dodane własne polecenie startowe z parametrami OpenVPN.
  1. Otwórz Menedżer zadań.
  2. Przejdź do zakładki Startup lub Autostart.
  3. Wybierz SSL VPN Client for Windows.
  4. Dezaktywuj wpis.

W starszych wersjach Windows dodatkowo może być istotny klasyczny folder autostartu. W zarządzanych środowiskach należy również sprawdzić, czy proces dystrybucji oprogramowania lub GPO nie przywróci wpisu później.

Przygotowanie polecenia dla Auto-Connect

Dla Auto-Connect uruchamiany jest openvpn-gui.exe z ścieżką do folderu konfiguracyjnego i nazwą żądanego pliku .ovpn.

Schemat:

"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect profilname.ovpn

W zależności od instalacji Windows i klienta, ścieżki mogą się różnić:

SkładnikTypowa ścieżka
openvpn-gui.exe na 64-bitowym WindowsC:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe
openvpn-gui.exe na 32-bitowym WindowsC:\Program Files\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe
Folder konfiguracyjny na 64-bitowym WindowsC:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\
Folder konfiguracyjny na 32-bitowym WindowsC:\Program Files\Sophos\Sophos SSL VPN Client\config\
Folder konfiguracyjny klienta Sophos SSL VPN z profilem OpenVPN
Polecenie startowe musi wskazywać na właściwy folder konfiguracyjny i właściwy plik OVPN.

Przykład:

"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect avanet@example-firewall.ovpn

Ważna jest dokładna nazwa pliku .ovpn. Jeśli w nazwie pliku występują spacje lub znaki specjalne, polecenie powinno być szczególnie starannie przetestowane. W wielu środowiskach krótka nazwa profilu bez spacji jest bardziej przyjazna w utrzymaniu.

Tworzenie autostartu w rejestrze

Wpis można umieścić pod bieżącym użytkownikiem Windows w Run. Dzięki temu klient uruchamia się przy logowaniu tego użytkownika, a nie systemowo przed każdym logowaniem użytkownika.

Tworzenie wpisu autostartu klienta Sophos SSL VPN w rejestrze Windows
Wpis HKCU-Run uruchamia klienta przy logowaniu bieżącego użytkownika Windows.
  1. Otwórz Edytor rejestru.
  2. Przejdź do tej ścieżki:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  1. W prawym panelu utwórz nową String Value.
  2. Nadaj unikalną nazwę, na przykład sophos-ssl-vpn.
  3. Jako wartość wprowadź przygotowane polecenie openvpn-gui.exe.
  4. Wyloguj się i zaloguj ponownie do Windows.
  5. Sprawdź, czy klient się uruchamia i wybiera żądane połączenie.

Jeśli potrzebne są tylko Autostart i Auto-Connect, należy tutaj zakończyć. W tym stanie użytkownik nadal musi wprowadzać hasło VPN. Z punktu widzenia bezpieczeństwa jest to zazwyczaj lepsza opcja.

Auto-Login tylko jako wyjątek

Auto-Login w starym kliencie opartym na OpenVPN jest sterowany przez linię auth-user-pass w pliku .ovpn. Jeśli tam podano plik, klient odczytuje nazwę użytkownika i hasło z tego pliku.

Przykład w pliku .ovpn:

auth-user-pass password.txt

Plik password.txt znajduje się wtedy w tym samym folderze co plik .ovpn i zawiera dwie linie:

supportuser
BardzoTajneHasło

Ta metoda jest technicznie prosta, ale słaba pod względem bezpieczeństwa. Kto uzyska dostęp do pliku, ma dane dostępowe do VPN. Dlatego tę opcję należy stosować tylko wtedy, gdy ryzyko zostało świadomie zaakceptowane i ograniczone.

Minimalne kontrole dla wyjątku:

  • własny użytkownik VPN tylko do tego celu
  • brak danych dostępowych administratora lub współdzielonych administratorów
  • silnie ograniczona polityka VPN i zasady zapory
  • brak dostępu do sieci zarządzania, kontrolerów domeny lub systemów kopii zapasowych, jeśli nie jest to absolutnie konieczne
  • urządzenie z Windows z BitLockerem lub porównywalnym szyfrowaniem
  • brak lokalnych standardowych użytkowników z dostępem do pliku
  • udokumentowana data wygaśnięcia lub przeglądu wyjątku

Konfiguracja Auto-Login

Jeśli Auto-Login jest potrzebny mimo ryzyka, zmiana powinna być dokładnie udokumentowana i przetestowana.

  1. Uruchom edytor jako administrator.
  2. Otwórz używany plik .ovpn w folderze konfiguracyjnym Sophos-SSL-VPN.
  3. Znajdź linię auth-user-pass.
  4. Zmień linię na auth-user-pass password.txt.
  5. W tym samym folderze utwórz plik password.txt.
  6. W pierwszej linii wpisz nazwę użytkownika.
  7. W drugiej linii wpisz hasło.
  8. Zapisz plik.
  9. Sprawdź uprawnienia do plików i usuń niepotrzebne dostępy.
  10. Zaloguj się ponownie do Windows i przetestuj połączenie VPN.

Po teście należy sprawdzić, czy użytkownik VPN osiąga tylko zamierzone cele. Jeśli profil pozwala na zbyt szerokie wewnętrzne sieci, z komfortowego obejścia szybko robi się niepotrzebnie duży dostęp do bezpieczeństwa.

Walidacja po konfiguracji

Po konfiguracji nie wystarczy tylko spojrzeć na zieloną ikonę VPN. Ważne jest, czy dokładnie oczekiwane połączenie zostało nawiązane i czy uprawnienia są odpowiednie.

Sprawdź:

  • Czy klient uruchamia się tylko raz?
  • Czy używany jest właściwy plik .ovpn?
  • Czy połączenie jest nawiązywane dopiero po zalogowaniu do Windows?
  • Czy działa rozwiązywanie DNS i wewnętrzne systemy docelowe?
  • Czy na zaporze działa oczekiwana zasada zdalnego dostępu?
  • Czy w Log Viewer widoczne są oczekiwane zdarzenia użytkownika i VPN?
  • Czy użytkownik VPN może osiągnąć tylko potrzebne sieci?

Dla problemów z połączeniem po pomyślnym logowaniu pomocne są Testowanie reguły zapory z Log Viewer, Policy Test i Packet Capture oraz Rozwiązywanie problemów z Sophos Firewall: Usługi i logi. Jeśli tylko pojedyncze aplikacje przez VPN się zawieszają, należy dodatkowo sprawdzić MTU i MSS przy problemach z VPN.

Typowe błędy

ObjawPrawdopodobna przyczynaSprawdzenie
Klient się nie uruchamiaBłędna ścieżka rejestru lub polecenieSprawdź wpis Run i ścieżki
Klient uruchamia się podwójnieStary wpis autostartu nadal aktywnySprawdź Menedżer zadań i folder autostartu
Profil nie jest znalezionyBłędna nazwa pliku lub config_dirDokładnie porównaj nazwę .ovpn
Hasło nadal jest wymaganeauth-user-pass password.txt nie w aktywnym pliku OVPNSprawdź używany profil i ścieżkę pliku
Logowanie działa, ale wewnętrzne cele nie są osiągalnePolityka VPN, zasada zapory, DNS lub routing nie pasująSprawdź Log Viewer, zasady zapory i DNS
Auto-Login nie działa po zmianie hasłapassword.txt zawiera stare hasłoZaktualizuj plik hasła lub usuń Auto-Login

Wycofanie

Jeśli Auto-Login nie jest już potrzebny, powinien być całkowicie usunięty.

  1. Usuń lub dezaktywuj wpis rejestru pod HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
  2. W pliku .ovpn zmień auth-user-pass password.txt z powrotem na auth-user-pass.
  3. Usuń password.txt.
  4. Zmień hasło VPN dla danego użytkownika.
  5. Sprawdź na zaporze, czy użytkownik lub zasada nadal są potrzebne.

Jeśli dane dostępowe były przechowywane w postaci jawnej przez dłuższy czas, nie wystarczy tylko usunąć plik. Hasło powinno zostać zmienione, a dostęp sprawdzony w logach.

Lista kontrolna

  • Sprawdzono autostart bez Auto-Login.
  • Oceniono lepszy model zdalnego dostępu, taki jak Sophos Connect, MFA lub Entra ID SSO.
  • Użyto dedykowanego użytkownika VPN, jeśli Auto-Login jest konieczny.
  • Zasady VPN i zapory ograniczone do minimum.
  • password.txt nie używany dla kont administratora lub współdzielonych.
  • Urządzenie z Windows jest zaszyfrowane i zarządzane.
  • Log Viewer pokazuje oczekiwane zdarzenia VPN.
  • Wycofanie i data przeglądu są udokumentowane.

FAQ

Czy Auto-Login z klientem Sophos SSL VPN jest bezpieczny?

Nie, nie jako standard. Auto-Login z password.txt przechowuje nazwę użytkownika i hasło w postaci jawnej. Może to być akceptowane w ściśle ograniczonych przypadkach specjalnych, ale nie powinno być używane dla zwykłych dostępów użytkowników lub administratorów.

Czy można automatycznie uruchomić klienta Sophos SSL VPN bez zapisywania hasła?

Tak. Klient może uruchamiać się automatycznie i --connect z określoną konfiguracją. Wtedy użytkownik nadal musi wprowadzać hasło.

Jaka jest lepsza alternatywa dla Auto-Login?

Dla nowych konfiguracji należy rozważyć Sophos Connect, aktualne profile SSL-VPN, MFA, Entra ID SSO lub w zależności od architektury ZTNA. Która opcja pasuje, zależy od systemu operacyjnego, uwierzytelniania, grup użytkowników i wymagań bezpieczeństwa.

Czy powinno się używać password.txt z normalnym kontem użytkownika?

Tylko jeśli ryzyko zostało świadomie zaakceptowane. Lepiej jest użyć dedykowanego konta z minimalnymi uprawnieniami, jasno ograniczonymi zasadami zapory i udokumentowaną datą wygaśnięcia.

Dlaczego klient łączy się automatycznie, ale wewnętrzne systemy są niedostępne?

Wtedy problemem nie jest logowanie do VPN. Często brakuje odpowiednich zasad zapory, ustawień DNS, tras lub uprawnień w polityce zdalnego dostępu.