Die im Download-Center der m-privacy GmbH bereitgestellte Installationsdatei für den TightGate-Viewer ist ein ausführbares MSI-Paket und enthält bereits alle benötigten Komponenten zur Audioübertragung und für das Drucken. Mit der Installation wird auf dem Desktop des Arbeitsplatz-PCs ein neues Desktop-Icon (Internet) sowie eine Verknüpfung im Windows-Startmenü angelegt.

Es gibt zwei Arten von Konfigurationsdateien: eine systemweite und eine benutzerspezifische. Die systemweite Konfigurationsdatei befindet sich unter:

%PROGRAMFILES%\TightGate-Pro\tgpro.cfg

Die benutzerspezifische Konfigurationsdatei ist im jeweiligen Benutzerkonto des Klientenrechners zu finden unter :

%APPDATA%\vnc\tgpro.vnc

Wird der TightGate-Viewer ohne spezielle Parameter gestartet, dann liest dieser seine Konfiguration aus der benutzerspezifischen Konfigurationsdatei. Ist eine solche noch nicht vorhanden, dann liest der TightGate-Viewer die systemweite Konfigurationsdatei aus und legt bei Beendigung der Sitzung eine benutzerspezifische Konfigurationsdatei an. In dieser werden alle Änderungen gespeichert, die der User während einer Sitzung selbst vornimmt.

Voraussetzung

• Aktueller TightGate-Viewer aus dem Download Center der m-privacy GmbH
• Computer mit Windows Betriebssystem ab Version 10 und administrativen Rechten.

Durchführung

• Das MSI-Paket des TightGate-Viewers mit administrativen Rechten ausführen.
• Nach der Installation ist die Datei %PROGRAMFILES%\TightGate-Pro\tgpro.cfg mit einem Editor zu öffnen und die Parameter ServerName, krbhostname und SecurityTypes für die jeweils gewünschte Anmeldeart laut nachfolgender Tabelle anzupassen:

• Der Start des TightGate-Viewers erfolgt durch ein Doppelklick auf das Desktop-Icon Internet oder auf den Startmenüeintrag für den TightGate-Viewer.

Die automatische Dateischleuse ist eine Alternative oder Ergänzung zur manuellen Dateischleuse in TightGate-Pro. Sie ermöglicht es, Downloads automatisch auf den Arbeitsplatzrechner zu übertragen.

• Jeder Benutzer hat innerhalb des Ordners transfer auf TightGate-Pro einen Unterordner namens autotransfer.
• Dateien in diesem Ordner durchlaufen wie gewohnt den Malware- und MIME-Typen-Filter.
• Wenn die Prüfung erfolgreich ist, wird die Datei automatisch auf den Arbeitsplatzrechner übertragen.
• Standardmäßig werden Dateien im lokalen Ordner autotransfer gespeichert (Unterordner des Windows-Standardordners Downloads).
• Das lokale Zielverzeichnis kann konfiguriert werden.
• Der manuelle Abruf über die TightGate-Schleuse ist weiterhin möglich – jedoch nicht für Dateien im Ordner autotransfer, sondern nur im übergeordneten Ordner transfer.

1. Anmeldung als Administrator config
   • Menü System-Vorgaben → Datei-Transfer auf Ja setzen.
   • Menü System-Vorgaben → Auto-Download erlauben auf Ja setzen.
2. Nach Aktivierung erscheint der Menüpunkt Auto-Download-Klienten-Ordner:
   • Zielordner für automatische Downloads festlegen.
   • Zulässig: Windows-Umgebungsvariablen (z. B. %USERPROFILE%\Desktop\) oder Serverpfade (\\Server\…), auch in Kombination.
   • Nicht zulässig: Pfade, die den String Start Menu enthalten.
3. Speichern und Anwenden auswählen.
4. Anmeldung als Administrator maint
   • Menü Benutzerverwaltung → Auto-Download öffnen.
   • Für die gewünschten Benutzerkennungen den Wert Ja setzen.
   • Einstellung wird mit dem nächsten Start des TightGate-Viewers wirksam.

Da die automatische Dateischleuse ab der Version 4.0.x standardmäßig deaktiviert ist, muss sie auch auf dem Client explizit aktiviert werden.

• In der Datei %PROGRAMFILES%\TightGate-Pro\tgpro.cfg den Eintrag hinzufügen: AutotransferSupport=1
• Für alle bestehenden Benutzer der Anmeldearten Active Directory, LDAP oder Benutzername + Passwort die Datei %APPDATA%\vnc\tgpro.vnc löschen.
• Für alle bestehenden Benutzer der Anmeldeart Zertifikate den Wert AutotransferSupport=1 in die Datei %APPDATA%\vnc\tgpro.vnc hinzufügen.

• Im TightGate-Viewer (laufend) über F8 → Einstellungen → Sicherheit den Haken bei Auto-Transfer zulassen setzen.
  • Einstellung wird beim Beenden in tgpro.vnc gespeichert.
• Alternativ (bei geschlossenem Viewer) den Eintrag manuell in %APPDATA%\vnc\tgpro.vnc hinzufügen: AutotransferSupport=1
• Beim nächsten Start ist die Funktion aktiv.

Funktionstest

• Mit einer Auto-Download-aktivierten Kennung am TightGate-Viewer anmelden.
• Im Ordner transfer sollte nun ein Unterordner autotransfer vorhanden sein.
• Eine für die Dateiübertragung erlaubte Testdatei in den Ordner autotransfer kopieren.
• Nach kurzer Zeit sollte sie im Zielordner erscheinen (wird automatisch angelegt, falls nicht vorhanden).

Falls der global konfigurierte Zielordner nicht genutzt werden soll, kann pro Benutzer ein individueller Pfad definiert werden.

Vorgehen:

1. TightGate-Viewer beenden.
2. Datei %APPDATA%\vnc\tgpro.vnc mit einem Editor öffnen.
3. Parameter AutotransferFolder hinzufügen und gewünschten Pfad eintragen.
   • Pfade müssen mit doppelten Backslashes maskiert werden.
   • Beispiel: %USERPROFILE%\\Desktop\\Test → legt einen Ordner *Test* auf dem Desktop an und speichert Downloads dort.
   • Serverpfade ebenfalls maskieren: \\test\share → \\\\test\\share
4. Einschränkung: Pfade die den Wert Start Menu enthalten sind nicht zulässig.
5. Datei speichern und TightGate-Viewer neu starten.
6. Funktionstest:
   • Datei in den autotransfer-Ordner auf TightGate-Pro legen.
   • Prüfen, ob sie im definierten lokalen Zielordner erscheint.
7. Falls nicht:
   • Eintrag in tgpro.vnc auf Vorhandensein und korrekte Syntax prüfen.
   • Bei Fehlern TightGate-Viewer beenden, Eintrag korrigieren und erneut starten.
   • Bleibt das Problem bestehen, den technischen Support der m-privacy GmbH kontaktieren.

Allgemeine Funktion

TightGate-Pro bietet als Schutzsystem einen hervorragenden Schutz gegenüber Angriffen auf das interne Netzwerk. Dazu zählt neben den Schutz vor unberechtigten Zugriff auf Dateien auch der unberechtigte Zugriff auf lokale Geräte. Vermehrt werden aber lokale Geräte benötigt, um den vollen Funktionsumfang im Internet nutzen zu können. Dies ist der Fall bei webbasierten Videokonferenzen. Um Nutzern die Teilnahme an solchen Videokonferenzen zu ermöglichen ist die globale Aktivierung dieser Funktion wie nachfolgend beschrieben notwendig.

• Anmeldung als Administrator config.
• Auswahl des Menüpunkts System-Vorgaben > Webcam-Unterstützung → Ja.
• Über die Menüpunkte Speichern und Anwenden, die Einstellungen übernehmen.

Weiterführende Hinweise:

→ Teilnahme an Videokonferenzen aus Nutzersicht
→ Übersicht von TightGate-Pro unterstützter Webkonferenz-Systeme.
→ Testanleitung zur Nutzung vom lokalem Mikrofon und Webcam mit TightGate-Pro

Bei den nachfolgenden Konfigurationen handelt es sich um Sonderfälle bei der Nutzung des TightGate-Viewers.

Die Nutzung von TightGate-Pro über Terminalserver-Anlagen ist möglich. Grundsätzlich erfolgt die Installation des TightGate-Viewers analog zur Vorgehensweise bei dedizierten Arbeitsplatzstationen. Es besteht jedoch eine Besonderheit im Hinblick auf die notwendigen Portfreigaben für die Audioübertragung. Folgende Einstellung vorzunehmen:

• Als config unter System-Vorgaben > Pulseaudio Extra-Ports ein Wertebereich einzustellen.
• Sofern die Anmeldeart Zertifikate verwendet wird, sind im Anschluss als maint die Nutzerzertifikate neu zu erstellen und zu verteilen.
• Für die Anmeldeart Active Directory sind Anpassungen in den Dateien %APPDATA%\vnc\tgpro.vnc (nur für bestehende Nutzer) und %PROGRAMFILES\TightGate-Pro\tgpro.cfg vorzunehmen. Hier sind die Werte PAPortMin=<Startwert> und PAPortMax=<Endwert> zu ergänzen/anzupassen.

Bei jeder Anmeldung des Benutzers wird nun automatisch ein freier Port gesucht und für die Dauer der Sitzung reserviert und es werden Kollisionen mit anderen Klientenrechnern vermieden.

Mit der Tastenkombination ALT+Tab kann zwischen laufenden Applikationen umgeschaltet werden. Sofern der TightGate-Viewer im Fenster-Modus betrieben wird, wirkt sich ALT+Tab nur auf die Umgebung außerhalb des TightGate-Viewers aus. Im Vollbild-Modus wird hingegen zwischen laufenden Applikationen innerhalb des TightGate-Viewers gewechselt.

Dieses Verhalten kann dahingehend geändert werden, dass auch im Vollbild-Modus ALT+Tab nicht an TightGate-Pro weitergegeben wird. Die Tastenkombination wirkt sich dann in jedem Fall ausschließlich auf die Umgebung außerhalb des TightGate-Viewers aus. Um dieses Verhalten zu konfigurieren, kann in der Konfigurationsdatei des TightGate-Viewers der Parameter FullScreenSystemKeys=0 gesetzt werden.

Alternativ kann im Fenstermenü des TightGate-Viewers (Aufruf mit F8) unter Einstellungen > Eingabemethoden > Systemtasten direkt zum Server senden der Haken entfernt werden.

Soll z. B. für Testzwecke einmalig eine abweichende Konfiguration verwendet werden, ohne diese zu speichern oder vorherige Werte zu übernehmen, kann der TightGate-Viewer per Konsole mit der Option -noconfig und beliebig vielen weiteren Optionen aufgerufen werden. Der Aufruf von der Konsole würde folgendermaßen aussehen:

%PROGRAMFILES%\TightGate-Pro\vncviewer.exe -noconfig

Führt man diesen Beispielaufruf aus, werden die IP des Servers und die Zugangsdaten des Benutzers in folgenden Dialogen abgefragt.

Soll für Analysezwecke die Funktionalität des TightGate-Viewers geloggt werden, so ist dieser mit dem zusätzlichen Parameter (-log) aufzurufen. Es wird empfohlen beim Logging den TightGate-Viewer über die Konsole zu starten, damit nicht dauerhaft Log-Dateien erzeugt werden. Der Aufruf von der Konsole würde bei der Benutzerauthentifizierung via Benutzerzertifikat oder Active-Directory folgendermaßen aussehen:

%PROGRAMFILES%\TightGate-Pro\vncviewer.exe -log *:file:100

Wird der TightGate-Viewer so aufgerufen, wird im Verzeichnis unter %temp%\tgprotemp eine Log-Datei mit dem Namen vncviewer.log erstellt. Die Datei vncviewer.log ist eine Textdatei und kann mit beliebigen Texteditoren gelesen werden.

Soll für Analysezwecke die genaue Paketfolge des TightGate-Viewers geloggt werden, um Verbindungsabbrüche zu analysieren, so ist der TightGate-Viewer über den Sonderport 5901 und dem zusätzlichen Parameter (-log) aufzurufen. Es wird empfohlen beim Debugging/Logging den TightGate-Viewer über die Konsole zu starten, damit nicht dauerhaft Log-Dateien erzeugt werden. Es wird empfohlen das Debugging nur in Absprache mit dem technischen Kundendienst der m-privacy GmbH zu verwenden.

Der Aufruf von der Konsole erfolgt folgendermaßen:

%PROGRAMFILES%\TightGate-Pro\vncviewer.exe -log *:file:100 [IP-Adresse]:5901

Wird der TightGate-Viewer so aufgerufen, erstellt er im Verzeichnis unter %temp%\tgprotemp eine Log-Datei mit dem Namen vncviewer.log. Die Datei vncviewer.log ist eine Textdatei und kann mit beliebigen Texteditoren gelesen werden.

Die Datei ist zu Analysezwecken an den technischen Kundendienst der m-privacy GmbH zu senden.

Es ist möglich mehrere Verknüpfungen des TightGate-Viewers auf dem Desktop anzulegen und diese mit unterschiedlichen Konfigurationen zu belegen. Hierfür ist per Rechtsklick auf dem Desktop-Icon das Menü Einstellungen und der Reiter Verknüpfung auszuwählen. Unter Ziel ist nun nach der Angabe des Programmpfades mit -configdir=<Pfad> der Pfad zu dem Ordner mit der zu nutzenden Konfigurationsdatei anzugeben. In diesem Ordner müssen für das Anmeldeverfahren SSO auch alle Nutzerzertifikate abgelegt werden.

Soll der TightGate-Viewer aufgerufen werden und dabei Konfigurationsdateien aus einem speziellen Verzeichnis verwenden oder der Viewer ganz ohne Konfigurationsdatei gestartet werden, so können beim Programmaufruf folgende Parameter verwendet werden:

Die nachfolgende Liste gibt eine Übersicht über verschiedene Werte des TightGate-Viewers. Diese gelten für die individuelle Konfigurationsdatei %APPDATA%\vnc\tgpro.vnc gleichermaßen wie für die globale Konfigurationsdatei unter %PROGRAMFILES%\TightGate-Pro\tgpro.cfg

Eine vollständige Liste der verfügbaren Programmparameter für den TightGate-Viewer erhalten Sie, wenn in der Eingabeaufforderung unter Windows im Programmpfad %PROGRAMFILES%\TightGate-Pro folgendes Programm starten:

vncviewer.exe --help