Saltar para o conteudo
Avanet

Classificar com segurança o Sophos SSL VPN Client na inicialização automática

O antigo Sophos SSL VPN Client for Windows pode iniciar automaticamente no login do Windows e conectar uma configuração específica do OpenVPN. Isso é tecnicamente possível, mas não deve ser confundido com uma recomendação padrão segura. Especialmente crítico é o Login Automático com um password.txt, pois nome de usuário e senha ficam em texto claro no cliente.

Para novas configurações de acesso remoto, deve-se primeiro verificar se Sophos Connect, perfis SSL-VPN atuais, MFA ou Microsoft Entra ID SSO são mais adequados. Este guia é principalmente para ambientes legados, clientes especiais ou exceções controladas onde o antigo SSL VPN Client ainda é utilizado.

Diferenciar inicialização automática, conexão automática e login automático

Os três termos são frequentemente confundidos, mas significam riscos diferentes:

FunçãoSignificadoRisco
Inicialização automáticaO VPN Client inicia no login do Windows.baixo a médio
Conexão automáticaO cliente inicia diretamente com um arquivo .ovpn específico.médio
Login automáticoNome de usuário e senha são passados automaticamente.alto

Inicialização automática e conexão automática podem ser úteis em determinados ambientes, quando um dispositivo deve estabelecer uma conexão imediatamente após o login. Login automático, por outro lado, é um caso especial. Assim que a senha está armazenada como arquivo no cliente, a segurança depende fortemente do dispositivo Windows, perfil do usuário, permissões de arquivo, permissões de VPN e proteção contra roubo.

⚠️ Login automático com password.txt armazena credenciais em texto claro. Não deve ser usado para contas de usuário normais, administradores, dispositivos compartilhados ou perfis de VPN amplamente autorizados.

Quando este método pode ser útil

A abordagem de inicialização automática pode ser uma solução de transição útil quando um cliente Windows deve abrir automaticamente uma conexão SSL-VPN conhecida após o login e o ambiente ainda não foi migrado para o Sophos Connect ou outro modelo de acesso remoto.

Casos típicos:

  • um cliente de manutenção dedicado com permissões limitadas
  • um sistema de laboratório ou teste
  • um dispositivo especial que precisa de uma conexão fixa após o login do usuário
  • um ambiente legado onde o Sophos Connect ainda não foi implementado

A abordagem não é adequada para dispositivos usados por várias pessoas, para acessos de administrador privilegiados, para clientes Windows não criptografados ou mal geridos e para ambientes onde o MFA deve ser rigorosamente aplicado.

Pré-requisitos

Antes da implementação, os seguintes pontos devem estar claros:

  • O antigo Sophos SSL VPN Client está instalado no Windows.
  • Uma configuração .ovpn funcional está disponível localmente.
  • O usuário VPN afetado tem apenas os acessos realmente necessários.
  • O dispositivo Windows é gerido, criptografado e protegido contra acessos locais não autorizados.
  • Está documentado por que a conexão automática ou o login automático são necessários.
  • Para uso produtivo, existe um plano de reversão.

Se o cliente ainda não estiver instalado, a instrução Sophos SSL VPN Client no Windows com SFOS pode ajudar. Para versões atuais do cliente, também é adequado Verificar e atualizar com segurança a versão do Sophos Connect Client.

Desativar entrada de inicialização automática existente

O antigo SSL VPN Client frequentemente cria uma entrada de inicialização automática durante a instalação. Se uma linha de inicialização personalizada com parâmetros for usada, a entrada existente deve ser desativada primeiro para evitar que o cliente inicie duas vezes.

Desativar entrada de inicialização automática do Sophos SSL VPN Client no Gerenciador de Tarefas do Windows
A entrada de inicialização automática existente deve ser desativada antes de adicionar um comando de inicialização personalizado com parâmetros do OpenVPN.
  1. Abra o Gerenciador de Tarefas.
  2. Vá para a aba Startup ou Inicialização.
  3. Selecione SSL VPN Client for Windows.
  4. Desative a entrada.

Em versões mais antigas do Windows, a pasta clássica de inicialização automática também pode ser relevante. Em ambientes geridos, deve-se verificar se um processo de distribuição de software ou GPO restaura a entrada posteriormente.

Preparar comando para conexão automática

Para conexão automática, openvpn-gui.exe é iniciado com o caminho para a pasta de configuração e o nome do arquivo .ovpn desejado.

Esquema:

"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect profilname.ovpn

Dependendo da instalação do Windows e do cliente, os caminhos podem variar:

ComponenteCaminho típico
openvpn-gui.exe no Windows 64 bitsC:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe
openvpn-gui.exe no Windows 32 bitsC:\Program Files\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe
Pasta de configuração no Windows 64 bitsC:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\
Pasta de configuração no Windows 32 bitsC:\Program Files\Sophos\Sophos SSL VPN Client\config\
Pasta de configuração do Sophos SSL VPN Client com perfil OpenVPN
O comando de inicialização deve apontar para a pasta de configuração correta e o arquivo OVPN correto.

Exemplo:

"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect avanet@example-firewall.ovpn

É importante o nome exato do arquivo .ovpn. Se houver espaços ou caracteres especiais no nome do arquivo, o comando deve ser testado com cuidado. Em muitos ambientes, um nome de perfil curto sem espaços é mais fácil de manter.

Criar inicialização automática no Registro

A entrada pode ser adicionada em Run para o usuário atual do Windows. Assim, o cliente inicia no login desse usuário, não de forma global antes de cada login de usuário.

Criar entrada de inicialização automática do Sophos SSL VPN Client no Registro do Windows
Uma entrada HKCU-Run inicia o cliente no login do usuário atual do Windows.
  1. Abra o Editor do Registro.
  2. Navegue até este caminho:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  1. Na coluna da direita, crie um novo String Value.
  2. Dê um nome único, por exemplo, sophos-ssl-vpn.
  3. Insira o comando openvpn-gui.exe preparado como valor.
  4. Desconecte e reconecte o usuário do Windows.
  5. Verifique se o cliente inicia e seleciona a conexão desejada.

Se apenas inicialização automática e conexão automática forem necessárias, deve-se parar aqui. Nesse estado, o usuário ainda precisa inserir a senha do VPN. Isso geralmente é a melhor opção do ponto de vista de segurança.

Usar login automático apenas como exceção

O login automático no antigo cliente baseado em OpenVPN é controlado pela linha auth-user-pass no arquivo .ovpn. Se um arquivo for especificado, o cliente lê o nome de usuário e a senha desse arquivo.

Exemplo no arquivo .ovpn:

auth-user-pass password.txt

O arquivo password.txt fica na mesma pasta que o arquivo .ovpn e contém duas linhas:

supportuser
SenhaMuitoSecreta

Este método é tecnicamente simples, mas fraco em termos de segurança. Quem tiver acesso ao arquivo terá as credenciais de acesso ao VPN. Portanto, essa variante só deve ser usada se o risco for conscientemente aceito e limitado.

Controles mínimos para uma exceção:

  • usuário VPN próprio apenas para este propósito
  • sem credenciais de administrador ou de administrador compartilhado
  • política de VPN e regras de firewall fortemente limitadas
  • sem acesso a redes de gerenciamento, controladores de domínio ou sistemas de backup, a menos que absolutamente necessário
  • dispositivo Windows com BitLocker ou criptografia comparável
  • sem usuários padrão locais com acesso ao arquivo
  • data de expiração ou revisão documentada para a exceção

Configurar login automático

Se o login automático for necessário apesar do risco, a alteração deve ser bem documentada e testada.

  1. Inicie o editor como administrador.
  2. Abra o arquivo .ovpn usado na pasta de configuração do Sophos SSL VPN.
  3. Procure a linha auth-user-pass.
  4. Altere a linha para auth-user-pass password.txt.
  5. Crie um arquivo password.txt na mesma pasta.
  6. Insira o nome de usuário na primeira linha.
  7. Insira a senha na segunda linha.
  8. Salve o arquivo.
  9. Verifique as permissões do arquivo e remova acessos desnecessários.
  10. Refaça o login no Windows e teste a conexão VPN.

Após o teste, deve-se verificar se o usuário VPN só alcança os destinos previstos. Se o perfil permitir redes internas muito amplas, um desvio de conforto pode rapidamente se tornar um acesso de segurança desnecessariamente grande.

Validação após a configuração

Após a configuração, não basta olhar apenas para o ícone verde do VPN. É importante verificar se exatamente a conexão esperada foi estabelecida e se as permissões estão corretas.

Verifique:

  • O cliente inicia apenas uma vez?
  • O arquivo .ovpn correto está sendo usado?
  • A conexão é estabelecida apenas após o login no Windows?
  • A resolução de DNS e os sistemas de destino internos funcionam?
  • A regra de acesso remoto esperada está ativa no firewall?
  • Os eventos de usuário e VPN esperados são visíveis no Log Viewer?
  • O usuário VPN só pode acessar as redes necessárias?

Para problemas de conexão após login bem-sucedido, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture e Solução de problemas do Sophos Firewall: Serviços e Logs. Se apenas aplicativos específicos travarem via VPN, também deve-se verificar MTU e MSS em problemas de VPN.

Erros típicos

SintomaCausa provávelVerificação
Cliente não iniciaCaminho do registro ou comando incorretoVerifique a entrada Run e os caminhos
Cliente inicia duas vezesentrada de inicialização automática antiga ainda ativaVerifique o Gerenciador de Tarefas e a pasta de inicialização
Perfil não encontradonome de arquivo incorreto ou config_dir incorretoCompare exatamente o nome do .ovpn
Senha ainda solicitadaauth-user-pass password.txt não está no arquivo OVPN ativoVerifique o perfil usado e o caminho do arquivo
Login funciona, mas sistemas internos não são acessíveisPolítica de VPN, regra de firewall, DNS ou roteamento incorretosVerifique Log Viewer, regra de firewall e DNS
Login automático não funciona após troca de senhapassword.txt contém senha antigaAtualize o arquivo de senha ou remova o login automático

Reversão

Se o login automático não for mais necessário, ele deve ser completamente removido.

  1. Exclua ou desative a entrada de registro em HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
  2. No arquivo .ovpn, altere auth-user-pass password.txt de volta para auth-user-pass.
  3. Exclua password.txt.
  4. Altere a senha VPN do usuário afetado.
  5. Verifique no firewall se o usuário ou a regra ainda são necessários.

Se as credenciais foram armazenadas em texto claro por um longo tempo, não basta apenas excluir o arquivo. A senha deve ser alterada e o acesso verificado nos logs.

Lista de verificação

  • Inicialização automática sem login automático verificada.
  • Modelo de acesso remoto melhor, como Sophos Connect, MFA ou Entra ID SSO avaliado.
  • Usuário VPN dedicado usado, se o login automático for necessário.
  • Regras de VPN e firewall limitadas ao mínimo.
  • password.txt não usado para contas de administrador ou compartilhadas.
  • Dispositivo Windows é criptografado e gerido.
  • Log Viewer mostra eventos VPN esperados.
  • Reversão e data de revisão documentadas.

FAQ

O login automático com o Sophos SSL VPN Client é seguro?

Não, não como padrão. O login automático com password.txt armazena nome de usuário e senha em texto claro. Isso pode ser aceito em casos especiais estritamente limitados, mas não deve ser usado para acessos de usuário ou administrador normais.

É possível iniciar automaticamente o Sophos SSL VPN Client sem armazenar a senha?

Sim. O cliente pode iniciar automaticamente e --connect com uma configuração específica. O usuário ainda precisa inserir a senha.

Qual é a melhor alternativa ao login automático?

Para novas configurações, deve-se considerar Sophos Connect, perfis SSL-VPN atuais, MFA, Entra ID SSO ou, dependendo da arquitetura, ZTNA. A variante adequada depende do sistema operacional, autenticação, grupos de usuários e requisitos de segurança.

Deve-se usar password.txt com uma conta de usuário normal?

Apenas se o risco for conscientemente aceito. É melhor usar uma conta dedicada com direitos mínimos, regras de firewall claramente limitadas e data de expiração documentada.

Por que o cliente se conecta automaticamente, mas os sistemas internos não são acessíveis?

Nesse caso, o problema não é o login VPN. Frequentemente faltam regras de firewall adequadas, configurações de DNS, rotas ou permissões na política de acesso remoto.