Die über den Support-Bereich der m-privacy GmbH bereitgestellten Installationsdateien sind ausführbare MSI-Pakete und enthalten bereits alle benötigten Komponenten zur Audioübertragung und für das Drucken. Mit Ihnen wird auf dem Desktop des Arbeitsplatz-PCs ein neues Icon angelegt, welches die Bezeichnung "Internet" trägt. Um per Doppelklick den TightGate-Viewer erfolgreich zu öffnen, müssen zuerst ein paar Konfigurationsschritte durchgeführt werden. Diese werden unter Umsetzung erläutert.

Es gibt zwei Arten von Konfigurationsdateien: eine systemweite und eine benutzerspezifische. Die systemweite Konfigurationsdatei befindet sich unter:

%PROGRAMFILES%\TightGate-Pro\tgpro.cfg

Die benutzerspezifische Konfigurationsdatei ist im jeweiligen Benutzerkonto des Klientenrechners zu finden unter :

%APPDATA%\vnc\tgpro.vnc

Wird der TightGate-Viewer ohne spezielle Parameter gestartet, dann liest dieser seine Konfiguration aus der benutzerspezifischen Konfigurationsdatei. Ist eine solche noch nicht vorhanden, dann liest der TightGate-Viewer die systemweite Konfigurationsdatei aus und legt bei Beendigung der Sitzung eine benutzerspezifische Konfigurationsdatei an. In dieser werden alle Änderungen gespeichert, die der User während einer Sitzung selbst vornimmt.

Hinweis

Zur Änderung der systemweiten Konfigurationsdatei tgpro.cfg sind Administratorrechte auf dem Zielsystem erforderlich. Nach dem ersten Start des TightGate-Viewers wird für den jeweiligen Benutzer eine spezifische Konfigurationsdatei tgpro.vnc angelegt und fortan ausschließlich genutzt. Eventuelle spätere Änderungen an der systemweiten tgpro.cfg werden ignoriert, solange eine benutzerspezifische existiert. Änderungen müssen folglich entweder an der benutzerspezifischen Datei erfolgen oder alternativ kann die systemweite Datei angepasst werden, jedoch muss dann die benutzerspezifische Datei gelöscht werden. Sie wird dann beim nächsten Programmstart automatisch aus der systemweiten Datei erzeugt.

Das wird benötigt:

→ TightGate-Viewer aus dem Download Center der m-privacy GmbH herunterladen.

Hinweis: Bitte achten sie darauf, dass sie das für Ihre Authentisierungsmethode passende Paket herunterladen (Passwort-Anmeldung oder SSO).

So geht's:

  • Das MSI-Paket des TightGate-Viewers ausführen
  • Bei Anmeldung mit Passwort:
    • Die Datei %PROGRAMFILES%\TightGate-Pro\tgpro.cfg öffnen und den Parameter ServerName anpassen und dort den auflösbaren DNS Namen von TightGate-Pro eintragen, notfalls die IP
    • Bei Doppelklick auf dem Icon der Anwendung erscheint ein Anmeldefenster in dem Benutzername und Passwort einzugeben sind
    • Die Datei %APPDATA%\vnc\tgpro.vnc wird beim Schließen des TightGate-Viewers automatisch angelegt und fortan für die Anmeldung verwendet
  • Bei SSO Anmeldung mit Zertifikaten:
    • Am TightGate-Pro sind durch maint SSL-Zertifikate für die Benutzer anzulegen und zu exportieren, wie unter Benutzerverwaltung per Benutzerzertifikaten beschrieben
    • Sofern unter %APPDATA% noch kein Ordner vnc existiert ist dieser anzulegen
    • Mittels WinSCP (wird bei Installation der Schleuse automatisch mit installiert) ist der User transfer an TightGate-Pro anzumelden
    • Der gesamte Inhalt des Ordners /home/user/.transfer/config/certs/<Benutzername> ist in den lokalen Ordner %APPDATA%\vnc zu kopieren
    • Bei Doppelklick auf das Internet-Icon auf dem Arbeitsplatz, wird der Benutzer unter Verwendung des Zertifikats angemeldet.
    • %APPDATA%\vnc\tgpro.vnc wird beim Schließen des TightGate-Viewers automatisch angelegt und fortan für die Anmeldung verwendet.
  • Bei Anmeldung mittels Active Directory:
    • Die Datei %PROGRAMFILES%\TightGate-Pro\tgpro.cfg öffnen und folgende Parameter anpassen:
      • ServerName → den auflösbaren DNS Namen von TightGate-Pro eintragen
      • krbhostname → den auflösbaren DNS Name von TightGate-Pro eintragen
    • Bei Doppelklick auf das Internet-Icon auf dem Arbeitsplatz, wird der Benutzer angemeldet.
    • %APPDATA%\vnc\tgpro.vnc wird beim Schließen des TightGate-Viewers automatisch angelegt und fortan für die Anmeldung verwendet.

Allgemeine Funktion

Alternativ oder ergänzend zur manuellen Dateischleuse ist eine automatische Schleusenfunktion in TightGate-Pro integriert. Damit lassen sich Downloads automatisch auf den Arbeitsplatzrechner transferieren. Jeder Benutzer verfügt dabei innerhalb des Ordners transfer auf TightGate-Pro über einen Unterordner namens autotransfer. Alle Dateien, die dort abgelegt werden, durchlaufen wie gewohnt den Malware- und MIME-Typen-Filter. Bleibt die Prüfung ohne Beanstandung, erfolgt die automatische Übertragung auf den Arbeitsplatzrechner. Ohne weitere Konfiguration wird die Datei im lokalen Ordner autotransfer abgelegt, der sich im Windows-Standardordner Downloads befindet. Der manuelle Abruf über die TightGate-Schleuse bleibt wahlweise möglich. Das lokale Zielverzeichnis der automatischen Dateischleuse ist frei konfigurierbar. Hinweis: Wird das Zusatzprodukt OPSWAT für die Dateischleuse verwendet, so ist die Funktion der automatischen Schleusenfunktion deaktiviert.

Das wird benötigt:

→ Global aktivierte Dateischleuse

So geht's:

  • Anmeldung als Administrator config.
  • Auswahl des Menüpunkts System-Vorgaben > Datei-Transfer und diesen auf Ja setzen.
  • Auswahl des Menüpunkts System-Vorgaben > Auto-Download erlauben und diesen auf Ja setzen.
  • Nach der Aktivierung der automatischen Dateischleuse erscheint ein neuer Menüpunkt mit der Bezeichnung Auto-Download-Klienten-Ordner. Hier kann ein Zielordner festgelegt werden, in den die halbautomatische Dateischleuse die Downloads von TightGate-Pro auf dem Klientenrechner ablegt. Für den Zielpfad können auch Windows-Umgebungsvariablen wie z. B. %USERPROFILE%\Desktop\ oder Serverpfade wie z. B. \\Server\.. verwendet werden. Auch Serverpfade können mit Windows-Umgebungsvariablen kombiniert werden.
  • Über die Menüpunkte Speichern und Anwenden die Einstellungen übernehmen.
  • Anmeldung als Administrator maint.
  • Auswahl des Menüpunkts Benutzerverwaltung > Auto-Download. Hier können nun einzelne Kennung oder alle Kennungen mit der Funktionalität versehen werden. Wählen Sie sich bitte die entsprechenden Kennungen heraus und setzen Sie den Wert auf Ja. Damit ist die Einstellung wirksam.
  • Zum Funktionstest melden Sie sich bitte mit dem TightGate-Viewer und der auf Auto-Download umgestellten Kennung an. Sie sollten nun im Transfer-Ordner einen neuen Unterordner mit dem Namen autotransfer vorfinden. Kopieren Sie zum Test eine Datei in das Verzeichnis autotransfer. Die Datei sollte nach kurzer Zeit aus dem Autotransfer-Verzeichnis verschwinden und anschließend im Zielverzeichnis erscheinen. Das Zielverzeichnis wird mit dem ersten Download automatisch angelegt, so es noch nicht existiert.

Hinweis

Bei der Benutzerverwaltung via Active-Directory erfolgt die benutzerspezifische Zuordnung zur automatischen Dateischleuse über die Mitgliedschaft in der Sicherheitsgruppe TGtransferAuto. Details zu den Sicherheitsgruppe für TightGate-Pro finden Sie hier.

Pfad für den Windows-Standardordner lokal anpassen

Sofern Sie den global als config vergebene Auto-Download-Klienten-Ordner nicht verwenden wollen oder diesen für einzelne Benutzer lokal abändern wollen, so können sie diese durch das Hinzufügen des Parameters AutotransferFolder in die Dateien tgpro.vnc vornehmen.

Bitte gehen Sie folgendermaßen vor:

  • Beenden Sie zuerst den TightGate-Viewer.
  • Öffnen Sie die Datei %APPDATA%\vnc\tgpro.vnc mit einem Editor Ihrer Wahl.
  • Fügen Sie in die Datei den Parameter AutotransferFolder hinzu und ergänzen diesen um den Pfad, in den der Auto-Download die Downloads von TightGate-Pro ablegen soll.
    Bitte beachten Sie dass alle Pfade mit einem Backslash maskiert sein müssen. Das nachfolgende Beispiel verdeutlicht das Vorgehen:
    Bsp: Lokaler Pfad, wohin die Downloads gespeichert werden soll: %USERPROFILE%\Desktop\Test (Dieser Pfad legt einen Ordner Test auf dem Desktop des Benutzers an und speichert darin die Downloads.)
    Der anzulegende Parameter in der tgpro.vnc würde folgendermaßen lauten:
    AutotransferFolder=%USERPROFILE%\\Desktop\\Test
    Sofern Sie Serverpfade verwenden, müssen diese ebenfalls für jeden Backslash mit einem weiteren Backslash maskiert werden (z.B. \\test\… würde in der tgpro.vnc zu \\\\test\\… ).
  • Speichern Sie die Einstellungen und starten Sie den TightGate-Viewer neu.
  • Legen Sie eine (kleine) Datei in den autotransfer-Ordner in TightGate-Pro.
  • Der Download sollte nun in den von Ihnen konfigurierten Pfad erscheinen.
  • Sollte dies nicht der Fall sein, prüfen Sie bitte, ob der Eintrag für den AutotransferFolder noch in der tgpro.vnc vorhanden ist. Ist dies nicht der Fall, dann haben Sie einen wahrscheinlich ein Syntaxfehler im Eintrag. Bitte schließen Sie den TightGate-Viewer und wiederholen Sie den Eintrag für den AutotransferFolder in der Datei tgpro.vnc. Verbinden Sie sich erneut. Sollte es wiederholt nicht nicht funktionieren,wenden Sie sich bitte an den technischen Support der m-privacy GmbH.

Allgemeine Funktion

TightGate-Pro bietet als Schutzsystem einen hervorragenden Schutz gegenüber Angriffen auf das interne Netzwerk. Dazu zählt neben den Schutz vor unberechtigten Zugriff auf Dateien auch der unberechtigte Zugriff auf lokale Geräte. Vermehrt werden aber lokale Geräte benötigt, um den vollen Funktionsumfang im Internet nutzen zu können. Dies ist der Fall bei Webkonferenzen. Hier können sich Personen über das Internet zusammenfinden und sich Dateien oder Präsentationen vorführen, miteinander Sprechen oder sich per Videoübertragung gegenseitig sehen.

Um an solchen Webkonferenzen teilzunehmen wird meist nur ein Browser benötigt, schon kann man die Präsentationen und dem Gespräch folgen. Möchte man selbst aktiv gesehen und gehört werden, so muss ein Mikrofon und eine Webcam bereitstehen. Diese sind aber an den lokalen Arbeitsplatz gekoppelt und waren daher in TightGate-Pro bisher nicht verfügbar.

Mit der aktuellen Version von TightGate-Pro hat die m-privacy GmbH nun eine Möglichkeit geschaffen diese lokalen Geräte wie Mikrofon und Webcam für TightGate-Pro sicher verfügbar zu machen, um so sicher an Webkonferenzen teilnehmen zu können.

Das wird benötigt:

→ Aktueller TightGate-Viewer
→ Global aktivierte Option zur Nutzung der Webcam auf TightGate-Pro
→ lokales Mikrofon
→ lokale Webcam

So geht's:

Achtung

Das Anschalten von Webcam oder Mikrofon bei geöffnetem Browser kann zu Abstürzen des Browsers bis hin zum komplett hängenden TightGate-Viewern führen. Bitte schließen Sie daher immer vor dem Anschalten des lokalem Mikrofons und der lokalen Webcam alle Browser im TightGate-Pro.

  • Anmeldung als Administrator config.
  • Auswahl des Menüpunkts System-Vorgaben > Webcam-Unterstützung. Globale Aktivierung der Webcam-Unterstützung durch Auswahl Ja.
  • Über die Menüpunkte Speichern und Anwenden, die Einstellungen übernehmen.
  • Anschließend neu mit dem TightGate-Viewer anmelden. Sobald die Anmeldung durchgeführt wurde, bitte alle Browser schließen. Danach im TightGate-Viewer mit der Funktionstaste F8 das Einstellungsmenü öffnen. In dem Menü gibt es ganz oben einen Menüpunkt, welcher den aktuellen Status der Nutzung der lokalen Geräte anzeigt und über den ein Untermenü zum An- und Abschalten der lokalen Ressourcen geöffnet werden kann.

  • Bitte klicken Sie auf dem Menüpunkt Webcam und Mikrofon. Es öffnet sich ein Menü, über welches Sie die lokalen Webcam + Mikrofon hinzufügen können. Für die lokalen Webcams gibt es ein Auswahlmenü, in dem Ihnen alle lokal verfügbaren Webcams angezeigt werden. Sie können zu der Webcam auch die Auflösung einstellen. Beim Mikrofon gibt es nur die Möglichkeit das unter Windows definierte Standard-Mikrofon zu nutzen. Haben Sie Ihre Auswahl getroffen, können Sie diese mit Anwenden oder OK anwenden. Die Menüpunkt Anwenden und OK sind funktional identisch, bei Anwenden bleibt das Menü jedoch geöffnet, sodass weitere Einstellungen vernommenen werden können, bei OK wird das Menü geschlossen.

  • Danach kann der Browser (Firefox oder Chrome) gestartet werden, um an der Webkonferenz teilzunehmen. Nach Abschluss der Webkonferenz schließen Sie bitte den Browser und deaktivieren Sie wieder das Mikrofon und die Webcam über das Funktionsmenü F8.

Bei jedem Start des TightGate-Viewers sind die lokalen Geräten immer deaktiviert. D.h. selbst wenn Sie vergessen sollten nach einer Webkonferenz das lokale Mikrofon oder die lokale Webcam zu trennen, so sind diese spätestens nach den Neustart des TightGate-Viewers wieder deaktiviert.

  • Sie können nun wie oben beschrieben das lokale Mikrofon und die lokale Webcam zu TightGate-Pro zuschalten und an Webkonferenzen teilnehmen.
  • Wenn Sie die lokalen Geräte nicht mehr benötigen, so schalten Sie diese einfach wieder über das Einstellungsmenü (Funktionstaste F8) ab.

Über das Einstellungsmenü können Sie auch jederzeit der Status der lokalen Geräte prüfen. Hinter dem Menüpunkt Webcam und Mikrofon wird in Klammern der aktuelle Staus angezeigt. Beim starten stehen die Werte auf (aus/aus), was bedeutet, dass Webcam und Mikrofon nicht mit TightGate-Pro verbunden sind. Wird nun die Webcam mit TightGate-Pro verbunden, so wird dies im Funktionsmenü über den Wert (an/aus) signalisiert. Wird auch das Mikrofon noch hinzugeschaltet, zeigt der Wert (an/an). Werden die Geräte wieder getrennt, so springt die Signalisierung wieder auf (aus/aus).

Weiterführende Hinweise:

Übersicht von TightGate-Pro unterstützter Webkonferenz-Systeme.
Testanleitung zur Nutzung vom lokalem Mikrofon und Webcam mit TightGate-Pro

Die Nutzung von TightGate-Pro über Terminalserver-Anlagen ist möglich. Grundsätzlich erfolgt die Installation des TightGate-Viewers analog zur Vorgehensweise bei dedizierten Arbeitsplatzstationen. Es besteht jedoch eine Besonderheit im Hinblick auf die notwendigen Portfreigaben für die Audioübertragung.

Audioübertragung:

Um den Ton bei Terminalserver-Anlagen an den richtigen Klientenrechner übertragen zu können, ist es erforderlich statt dem Standardaudioport einen Wertebereich einzustellen. Hierfür ist mit der Administrationsrolle config unter System-Vorgaben > Pulseaudio Extra-Ports ein Wertebereich einzustellen. Für RSBAC-Zertifikats-Anmeldung sind im Anschluss mit der Administrationsrolle maint die Nutzerzertifikate neu zu erstellen und zu verteilen. Für Benutzerauthentifizierungen per Active Directory ist eine manuelle Anpassung der tgpro.vnc Datei (zu finden in %APPDATA%\vnc) vozunehmen. In diesem Fall müssen die Zeilen PAPortMin=<Startwert> und PAPortMax=<Endwert> ergänzt bzw. angepasst werden. Außerdem sind im Programmverzeichnis in der Datei tgpro.cfg die gleichen Werte zu ergänzen. Diese Datei gilt für User, die bisher noch keine lokale Kopie/Sicherung im %APPDATA%\vnc haben.

Bei jeder Anmeldung des Benutzers wird nun automatisch ein freier Port gesucht und für die Dauer der Sitzung reserviert. Somit werden Kollisionen mit anderen Klientenrechnern verhindert.

Mit der Tastenkombination ALT+Tab kann zwischen laufenden Applikationen umgeschaltet werden. Sofern der TightGate-Viewer im Fenster-Modus betrieben wird, wirkt sich ALT+Tab nur auf die Umgebung außerhalb des TightGate-Viewers aus. Im Vollbild-Modus wird hingegen zwischen laufenden Applikationen innerhalb des TightGate-Viewers gewechselt.

Dieses Verhalten kann dahingehend geändert werden, dass auch im Vollbild-Modus ALT+Tab nicht an TightGate-Pro weitergegeben wird. Die Tastenkombination wirkt sich dann in jedem Fall ausschließlich auf die Umgebung außerhalb des TightGate-Viewers aus. Um dieses Verhalten zu konfigurieren, kann in der Konfigurationsdatei des TightGate-Viewers der Parameter FullScreenSystemKeys=0 gesetzt werden.

Alternativ kann im Fenstermenü des TightGate-Viewers (Aufruf mit F8) unter Einstellungen > Eingabemethoden > Systemtasten direkt zum Server senden der Haken entfernt werden.

Soll z. B. für Testzwecke einmalig eine abweichende Konfiguration verwendet werden, ohne diese zu speichern oder vorherige Werte zu übernehmen, kann der TightGate-Viewer per Konsole mit der Option -noconfig und beliebig vielen weiteren Optionen aufgerufen werden. Der Aufruf von der Konsole würde folgendermaßen aussehen:

%PROGRAMFILES%\TightGate-Pro\vncviewer.exe -noconfig

Führt man diesen Beispielaufruf aus, werden die IP des Servers und die Zugangsdaten des Benutzers in folgenden Dialogen abgefragt.

Soll für Analysezwecke die Funktionalität des TightGate-Viewers geloggt werden, so ist dieser mit dem zusätzlichen Parameter (-log) aufzurufen. Es wird empfohlen beim Logging den TightGate-Viewer über die Konsole zu starten, damit nicht dauerhaft Log-Dateien erzeugt werden. Der Aufruf von der Konsole würde bei der Benutzerauthentifizierung via Benutzerzertifikat oder Active-Directory folgendermaßen aussehen:

%PROGRAMFILES%\TightGate-Pro\vncviewer.exe -log *:file:100

Wir der TightGate-Viewer so aufgerufen, wird im Verzeichnis unter %temp%\tgprotemp eine Log-Datei mit dem Namen vncviewer.log erstellt. Die Datei vncviewer.log ist eine Textdatei und kann mit beliebigen Texteditoren gelesen werden.

Es ist möglich mehrere Verknüpfungen des TightGate-Viewers auf dem Desktop anzulegen und diese mit unterschiedlichen Konfigurationen zu belegen. Hierfür ist per Rechtsklick auf dem Desktop-Icon das Menü Einstellungen und der Reiter Verknüpfung auszuwählen. Unter Ziel ist nun nach der Angabe des Programmpfades mit -configdir=<Pfad> der Pfad zu dem Ordner mit der zu nutzenden Konfigurationsdatei anzugeben. In diesem Ordner müssen für das Anmeldeverfahren SSO auch alle Nutzerzertifikate abgelegt werden.

Hinweis

Bei der Angabe des Pfades ist jeder Backslash mit einem weiteren zu maskieren (Bsp.: C:\\Users\\benutzername\\…). Würde man statt der Angabe eines abweichenden configdir beliebige andere Optionen angeben, würden diese in die tgpro.vnc Datei im Standardverzeichnis (%APPDATA%\vnc) übernommen werden. Bei mehreren Verknüpfungen des Tightgate-Viewers würden diese also gegenseitig ihre Konfigurationen überschreiben und sich nur in den in der Verknüpfung angegebenen Werten unterscheiden. Sofern es also gewünscht ist auch alle anderen Optionen, die nicht manuell angegeben wurden, wie z. B. die Größe des Fensters, zu übernehmen, sind zwingend mehrere tgpro.vnc Dateien erforderlich.

In der Regel besteht keine Notwendigkeit die tgpro.vnc Datei im Verzeichnis %APPDATA%\vnc oder die Vorlage unter %PROGRAMFILES%\TightGate-Pro nach Eintragung der Verbindungsoptionen manuell zu bearbeiten. Die nachfolgende Liste gibt dennoch eine Übersicht über verschiedene Optionen und Parameter.

Auswahl von Aufrufparametern (Angabe beim Programmaufruf):

ParameterBeschreibung
ConfigDirGibt das Verzeichnis an, in dem die zu verwendende Konfigurationsdatei tgpro.vnc sowie die Zertifikate für die Benutzeranmeldung liegen.
noConfigEs wird weder die tgpro.vnc noch tgpro.cfg verwendet und die Einstellungen werden auch nicht beim Schließen gespeichert.
rwConfigSoll das Standardverzeichnis (%APPDATA%\vnc) weiterhin genutzt werden und nur ein anderer Pfad für den Aufruf der tgpro.vnc Datei verwendet werden, kann dieser hiermit angegeben werden.

Hinweis

Bei Pfadangaben muss jeder Backslash mit einem weiteren maskiert werden!

Parameter für tgpro.cfg bzw. tgpro.vnc

OptionenBeschreibung
ServerName Auflösbarer FQDN von TightGate-Pro.
krbhostname Auflösbarer FQDN von TightGate-Pro bei der Benutzeranmeldung per Active Directory
SecurityTypesHiermit wird angegeben, welches Verfahren für die Anmeldung verwendet werden soll. Es ist nur ein Verfahren zu aktivieren. Folgende Verfahren gibt es:
X509krb = Anmeldung mit Active Directory Ticket
X509Plain = Anmeldung mit Benutzername und Passwort
X509Cert = Anmeldung mit Zertifikaten, die auf TightGate-Pro erstellt wurden
PAPortMinBeginn des Wertebereichs für Pulseaudio Ports (anzugeben bei Terminal Clients)
PAPortMaxEnde des Wertebereichs für Pulseaudio Ports (anzugeben bei Terminal Clients)
Maximize (1=aktiv)Das Viewer Fenster öffnet sich immer in maximaler Größe
QuickPrint (1=aktiv)Druckaufträge werden ohne Dialog direkt an den Standarddrucker weitergegeben
SoundSupport (1=aktiv)Der Ton kann damit aktiviert oder deaktiviert werden. (Wurde der Ton seitens maint deaktiviert, ist diese Einstellung wirkungslos.)
Menukey (Default=F8)Viele Einstellungen lassen sich nach Aufruf des TightGate-Viewers über ein Funktionsmenü (im Standard F8) vornehmen, ohne die Konfigurationsdateien manuell anzupassen. Hiermit kann die Funktionstaste definiert werden, mit dem der Menüaufruf erfolgt.

Eine vollständige Liste der verfügbaren Programmparameter für den TightGate-Viewer erhalten Sie, wenn in der Eingabeaufforderung unter Windows im Programmpfad %PROGRAMFILES%\TightGate-Pro folgendes Programm starten:

vncviewer.exe --help