Classificar com segurança o Sophos SSL VPN Client na inicialização automática
O antigo Sophos SSL VPN Client for Windows pode iniciar automaticamente no login do Windows e conectar uma configuração específica do OpenVPN. Isso é tecnicamente possível, mas não deve ser confundido com uma recomendação padrão segura. Especialmente crítico é o Login Automático com um password.txt, pois nome de usuário e senha ficam em texto claro no cliente.
Para novas configurações de acesso remoto, deve-se primeiro verificar se Sophos Connect, perfis SSL-VPN atuais, MFA ou Microsoft Entra ID SSO são mais adequados. Este guia é principalmente para ambientes legados, clientes especiais ou exceções controladas onde o antigo SSL VPN Client ainda é utilizado.
Diferenciar inicialização automática, conexão automática e login automático
Os três termos são frequentemente confundidos, mas significam riscos diferentes:
| Função | Significado | Risco |
|---|---|---|
| Inicialização automática | O VPN Client inicia no login do Windows. | baixo a médio |
| Conexão automática | O cliente inicia diretamente com um arquivo .ovpn específico. | médio |
| Login automático | Nome de usuário e senha são passados automaticamente. | alto |
Inicialização automática e conexão automática podem ser úteis em determinados ambientes, quando um dispositivo deve estabelecer uma conexão imediatamente após o login. Login automático, por outro lado, é um caso especial. Assim que a senha está armazenada como arquivo no cliente, a segurança depende fortemente do dispositivo Windows, perfil do usuário, permissões de arquivo, permissões de VPN e proteção contra roubo.
⚠️ Login automático com
password.txtarmazena credenciais em texto claro. Não deve ser usado para contas de usuário normais, administradores, dispositivos compartilhados ou perfis de VPN amplamente autorizados.
Quando este método pode ser útil
A abordagem de inicialização automática pode ser uma solução de transição útil quando um cliente Windows deve abrir automaticamente uma conexão SSL-VPN conhecida após o login e o ambiente ainda não foi migrado para o Sophos Connect ou outro modelo de acesso remoto.
Casos típicos:
- um cliente de manutenção dedicado com permissões limitadas
- um sistema de laboratório ou teste
- um dispositivo especial que precisa de uma conexão fixa após o login do usuário
- um ambiente legado onde o Sophos Connect ainda não foi implementado
A abordagem não é adequada para dispositivos usados por várias pessoas, para acessos de administrador privilegiados, para clientes Windows não criptografados ou mal geridos e para ambientes onde o MFA deve ser rigorosamente aplicado.
Pré-requisitos
Antes da implementação, os seguintes pontos devem estar claros:
- O antigo Sophos SSL VPN Client está instalado no Windows.
- Uma configuração
.ovpnfuncional está disponível localmente. - O usuário VPN afetado tem apenas os acessos realmente necessários.
- O dispositivo Windows é gerido, criptografado e protegido contra acessos locais não autorizados.
- Está documentado por que a conexão automática ou o login automático são necessários.
- Para uso produtivo, existe um plano de reversão.
Se o cliente ainda não estiver instalado, a instrução Sophos SSL VPN Client no Windows com SFOS pode ajudar. Para versões atuais do cliente, também é adequado Verificar e atualizar com segurança a versão do Sophos Connect Client.
Desativar entrada de inicialização automática existente
O antigo SSL VPN Client frequentemente cria uma entrada de inicialização automática durante a instalação. Se uma linha de inicialização personalizada com parâmetros for usada, a entrada existente deve ser desativada primeiro para evitar que o cliente inicie duas vezes.

- Abra o Gerenciador de Tarefas.
- Vá para a aba Startup ou Inicialização.
- Selecione SSL VPN Client for Windows.
- Desative a entrada.
Em versões mais antigas do Windows, a pasta clássica de inicialização automática também pode ser relevante. Em ambientes geridos, deve-se verificar se um processo de distribuição de software ou GPO restaura a entrada posteriormente.
Preparar comando para conexão automática
Para conexão automática, openvpn-gui.exe é iniciado com o caminho para a pasta de configuração e o nome do arquivo .ovpn desejado.
Esquema:
"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect profilname.ovpn
Dependendo da instalação do Windows e do cliente, os caminhos podem variar:
| Componente | Caminho típico |
|---|---|
openvpn-gui.exe no Windows 64 bits | C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe |
openvpn-gui.exe no Windows 32 bits | C:\Program Files\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe |
| Pasta de configuração no Windows 64 bits | C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\ |
| Pasta de configuração no Windows 32 bits | C:\Program Files\Sophos\Sophos SSL VPN Client\config\ |

Exemplo:
"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect avanet@example-firewall.ovpn
É importante o nome exato do arquivo .ovpn. Se houver espaços ou caracteres especiais no nome do arquivo, o comando deve ser testado com cuidado. Em muitos ambientes, um nome de perfil curto sem espaços é mais fácil de manter.
Criar inicialização automática no Registro
A entrada pode ser adicionada em Run para o usuário atual do Windows. Assim, o cliente inicia no login desse usuário, não de forma global antes de cada login de usuário.

- Abra o Editor do Registro.
- Navegue até este caminho:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Na coluna da direita, crie um novo String Value.
- Dê um nome único, por exemplo,
sophos-ssl-vpn. - Insira o comando
openvpn-gui.exepreparado como valor. - Desconecte e reconecte o usuário do Windows.
- Verifique se o cliente inicia e seleciona a conexão desejada.
Se apenas inicialização automática e conexão automática forem necessárias, deve-se parar aqui. Nesse estado, o usuário ainda precisa inserir a senha do VPN. Isso geralmente é a melhor opção do ponto de vista de segurança.
Usar login automático apenas como exceção
O login automático no antigo cliente baseado em OpenVPN é controlado pela linha auth-user-pass no arquivo .ovpn. Se um arquivo for especificado, o cliente lê o nome de usuário e a senha desse arquivo.
Exemplo no arquivo .ovpn:
auth-user-pass password.txt
O arquivo password.txt fica na mesma pasta que o arquivo .ovpn e contém duas linhas:
supportuser
SenhaMuitoSecreta
Este método é tecnicamente simples, mas fraco em termos de segurança. Quem tiver acesso ao arquivo terá as credenciais de acesso ao VPN. Portanto, essa variante só deve ser usada se o risco for conscientemente aceito e limitado.
Controles mínimos para uma exceção:
- usuário VPN próprio apenas para este propósito
- sem credenciais de administrador ou de administrador compartilhado
- política de VPN e regras de firewall fortemente limitadas
- sem acesso a redes de gerenciamento, controladores de domínio ou sistemas de backup, a menos que absolutamente necessário
- dispositivo Windows com BitLocker ou criptografia comparável
- sem usuários padrão locais com acesso ao arquivo
- data de expiração ou revisão documentada para a exceção
Configurar login automático
Se o login automático for necessário apesar do risco, a alteração deve ser bem documentada e testada.
- Inicie o editor como administrador.
- Abra o arquivo
.ovpnusado na pasta de configuração do Sophos SSL VPN. - Procure a linha
auth-user-pass. - Altere a linha para
auth-user-pass password.txt. - Crie um arquivo
password.txtna mesma pasta. - Insira o nome de usuário na primeira linha.
- Insira a senha na segunda linha.
- Salve o arquivo.
- Verifique as permissões do arquivo e remova acessos desnecessários.
- Refaça o login no Windows e teste a conexão VPN.
Após o teste, deve-se verificar se o usuário VPN só alcança os destinos previstos. Se o perfil permitir redes internas muito amplas, um desvio de conforto pode rapidamente se tornar um acesso de segurança desnecessariamente grande.
Validação após a configuração
Após a configuração, não basta olhar apenas para o ícone verde do VPN. É importante verificar se exatamente a conexão esperada foi estabelecida e se as permissões estão corretas.
Verifique:
- O cliente inicia apenas uma vez?
- O arquivo
.ovpncorreto está sendo usado? - A conexão é estabelecida apenas após o login no Windows?
- A resolução de DNS e os sistemas de destino internos funcionam?
- A regra de acesso remoto esperada está ativa no firewall?
- Os eventos de usuário e VPN esperados são visíveis no Log Viewer?
- O usuário VPN só pode acessar as redes necessárias?
Para problemas de conexão após login bem-sucedido, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture e Solução de problemas do Sophos Firewall: Serviços e Logs. Se apenas aplicativos específicos travarem via VPN, também deve-se verificar MTU e MSS em problemas de VPN.
Erros típicos
| Sintoma | Causa provável | Verificação |
|---|---|---|
| Cliente não inicia | Caminho do registro ou comando incorreto | Verifique a entrada Run e os caminhos |
| Cliente inicia duas vezes | entrada de inicialização automática antiga ainda ativa | Verifique o Gerenciador de Tarefas e a pasta de inicialização |
| Perfil não encontrado | nome de arquivo incorreto ou config_dir incorreto | Compare exatamente o nome do .ovpn |
| Senha ainda solicitada | auth-user-pass password.txt não está no arquivo OVPN ativo | Verifique o perfil usado e o caminho do arquivo |
| Login funciona, mas sistemas internos não são acessíveis | Política de VPN, regra de firewall, DNS ou roteamento incorretos | Verifique Log Viewer, regra de firewall e DNS |
| Login automático não funciona após troca de senha | password.txt contém senha antiga | Atualize o arquivo de senha ou remova o login automático |
Reversão
Se o login automático não for mais necessário, ele deve ser completamente removido.
- Exclua ou desative a entrada de registro em
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. - No arquivo
.ovpn, altereauth-user-pass password.txtde volta paraauth-user-pass. - Exclua
password.txt. - Altere a senha VPN do usuário afetado.
- Verifique no firewall se o usuário ou a regra ainda são necessários.
Se as credenciais foram armazenadas em texto claro por um longo tempo, não basta apenas excluir o arquivo. A senha deve ser alterada e o acesso verificado nos logs.
Lista de verificação
- Inicialização automática sem login automático verificada.
- Modelo de acesso remoto melhor, como Sophos Connect, MFA ou Entra ID SSO avaliado.
- Usuário VPN dedicado usado, se o login automático for necessário.
- Regras de VPN e firewall limitadas ao mínimo.
password.txtnão usado para contas de administrador ou compartilhadas.- Dispositivo Windows é criptografado e gerido.
- Log Viewer mostra eventos VPN esperados.
- Reversão e data de revisão documentadas.
FAQ
O login automático com o Sophos SSL VPN Client é seguro?
password.txt armazena nome de usuário e senha em texto claro. Isso pode ser aceito em casos especiais estritamente limitados, mas não deve ser usado para acessos de usuário ou administrador normais.É possível iniciar automaticamente o Sophos SSL VPN Client sem armazenar a senha?
--connect com uma configuração específica. O usuário ainda precisa inserir a senha.