ObserverDocs

Ayuda

Help

Preguntas frecuentesFrequently asked questions

Respuestas a las dudas más comunes al operar Observer RMM, con foco en seguridad e instalación de agentes.

Answers to the most common questions when operating Observer RMM, with a focus on security and agent installation.

Aparecen agentes desconocidos o inesperados en mi consolaUnknown or unexpected agents appear in my console

Si ves equipos que no reconoces, o el número de agentes crece más de lo que instalaste, trátalo como un incidente de seguridad y actúa de inmediato. Un agente enrolado tiene acceso legítimo a tu plataforma, así que un agente no autorizado es una vía de entrada real.

If you see machines you don't recognize, or the agent count grows beyond what you installed, treat it as a security incident and act immediately. An enrolled agent has legitimate access to your platform, so an unauthorized agent is a real entry point.

Acción inmediata

No ignores agentes que no reconozcas. Aíslalos y elimínalos, y luego cierra la vía por la que entraron.

Immediate action

Don't ignore agents you don't recognize. Isolate and remove them, then close the path they came in through.

¿Cómo ocurre esto?How does this happen?

Casi siempre la causa es que alguien reutilizó un artefacto de instalación que no debía compartirse:

Almost always the cause is that someone reused an installation artifact that shouldn't have been shared:

  • Se compartió un instalador o un comando de enrolamiento que sigue siendo válido, y un tercero lo ejecutó en otros equipos.
  • Se publicó por error un instalador con su token en un lugar accesible (un ticket, un chat, un repositorio).
  • Se usó el método de EXE dinámico, que facilita reutilizar el mismo instalador en equipos no previstos.
  • An installer or enrollment command that's still valid was shared, and a third party ran it on other machines.
  • An installer with its token was accidentally posted somewhere accessible (a ticket, a chat, a repository).
  • The dynamic EXE method was used, which makes it easy to reuse the same installer on unintended machines.

El enrolamiento de agentes se apoya en tokens. Mientras un token siga vigente, cualquiera que lo tenga puede sumar equipos a tu plataforma.

Agent enrollment relies on tokens. As long as a token remains valid, anyone who has it can add machines to your platform.

Qué hacer ahoraWhat to do now

  1. Identifica los agentes que no reconoces en la lista de agentes.
  2. Elimínalos desde la consola. Al quitar el agente de Observer también se corta su acceso; asegúrate de desinstalar el software del equipo si tienes acceso a él.
  3. Invalida los tokens de enrolamiento que puedan haberse filtrado y genera nuevos. Un instalador viejo dejará de servir para sumar equipos.
  4. Revisa quién tiene permisos sensibles (ver Permisos con implicancias de seguridad) y confirma que ningún usuario ni script se haya alterado.
  5. Cambia credenciales si sospechas que alguna se expuso, y confirma que la 2FA esté activa en todas las cuentas.
  1. Identify the agents you don't recognize in the agent list.
  2. Remove them from the console. Removing the agent from Observer also cuts off its access; make sure to uninstall the software on the machine if you have access to it.
  3. Invalidate any enrollment tokens that may have leaked and generate new ones. An old installer will no longer work to add machines.
  4. Review who holds sensitive permissions (see Security-sensitive permissions) and confirm no user or script has been altered.
  5. Rotate credentials if you suspect any were exposed, and confirm 2FA is active on all accounts.

Cómo prevenirloHow to prevent it

  • Trata los instaladores y comandos de enrolamiento como secretos: no los compartas por canales abiertos ni los dejes en tickets o repositorios.
  • Prefiere el instalador EXE estándar o PowerShell antes que el EXE dinámico.
  • Genera instaladores por sitio y con vigencia acotada cuando sea posible.
  • Revisa periódicamente la lista de agentes y da de baja los que ya no correspondan.
  • Treat installers and enrollment commands as secrets: don't share them over open channels or leave them in tickets or repositories.
  • Prefer the standard EXE installer or PowerShell over the dynamic EXE.
  • Generate per-site installers with limited validity whenever possible.
  • Periodically review the agent list and decommission the ones that no longer belong.

El instalador dispara advertencias de antivirus o SmartScreenThe installer triggers antivirus or SmartScreen warnings

Algunos métodos de instalación —en particular el EXE dinámico— pueden generar advertencias de antivirus, de Windows SmartScreen o de "Editor no confiable", incluso con la firma de código habilitada. Es un comportamiento conocido de ese método.

Some installation methods —in particular the dynamic EXE— can raise antivirus, Windows SmartScreen, or "Unknown publisher" warnings, even with code signing enabled. This is known behavior for that method.

Recomendación

Usa el instalador EXE estándar o el instalador de PowerShell. Además de evitar estas advertencias, reducen el riesgo de que aparezcan agentes inesperados.

Recommendation

Use the standard EXE installer or the PowerShell installer. Besides avoiding these warnings, they reduce the risk of unexpected agents appearing.

Instalé el agente pero no puedo tomar control remotoI installed the agent but can't take remote control

El control remoto se apoya en un componente adicional que se enrola junto con el agente. Si el equipo aparece en línea pero el control remoto figura como fuera de línea, verifica la conectividad del equipo hacia el servidor y que no haya un antivirus o filtro TLS interceptando la conexión, que puede romper la validación del canal de control.

Remote control relies on an additional component that enrolls alongside the agent. If the machine shows online but remote control shows as offline, check the machine's connectivity to the server and make sure no antivirus or TLS filter is intercepting the connection, which can break the validation of the control channel.