Einleitung
AV- und EDR-Tools kennzeichnen RMM-Agenten regelmäßig als potenziell unerwünschte Anwendungen (PUAs). Dies ist ein erwartetes Verhalten – ein RMM verfügt über erhebliche Systemprivilegien, und Sicherheitsanbieter handeln zu Recht mit Misstrauen gegenüber unbekannten Fernzugriffs-Tools. Da Sie Level absichtlich eingesetzt haben, besteht die Lösung darin, Ausnahmen hinzuzufügen, damit Ihr Sicherheits-Stack die Ausführung erlaubt.
Warum dies geschieht
EDRs haben damit begonnen, RMMs standardmäßig als potenziell unerwünschte Programme (PUPs) einzustufen. Das ist eine vertretbare Sicherheitshaltung – RMMs bieten tiefen Systemzugriff, einschließlich Fernsteuerung, Hintergrundverwaltung, beliebiger Skriptausführung und mehr. Jedes nicht autorisierte RMM, das in Ihrem Netzwerk läuft, sollte sofort gekennzeichnet werden.
Standpunkt von Level: EDRs sollten nicht genehmigte RMMs blockieren. Wenn Sie sich für die Nutzung von Level entschieden haben, ist das Erstellen einer Ausnahme in Ihrer Sicherheitssoftware die angemessene Reaktion.
Für eine ausführlichere Diskussion dazu, siehe: EDRs misstrauen RMMs – und das ist in Ordnung
Wie AV/EDR Level tatsächlich beeinträchtigt
Das ist wichtig zu verstehen, denn AV/EDR-Beeinträchtigungen sind nicht immer offensichtlich. Die meisten Menschen erwarten ein Quarantäne-Ereignis oder eine Warnung – aber verhaltensbasierte Erkennung erzeugt oft weder das eine noch das andere.
Verhaltensbasierte Erkennung ist nicht signaturbasiert. AV/EDR-Produkte scannen nicht nur Dateien; sie beobachten, was Prozesse zur Laufzeit tun. Wenn das Verhalten des Agenten zu einem bestimmten Zeitpunkt eine Heuristik auslöst – ein Netzwerkaufrufmuster, eine WMI-Abfrage, ein Prozess-Spawn – kann die Sicherheitssoftware diese Aktion blockieren oder beenden, ohne irgendetwas zu quarantänisieren. Keine Warnung, kein Protokolleintrag, keine Entfernung der Binärdatei.
Deshalb können 50 Geräte mit demselben AV/EDR laufen, und nur 2 zeigen Level als offline. Das ist kein inkonsistentes Verhalten Ihrer Sicherheitssoftware – die Erkennung wurde auf diesen 2 Geräten ausgelöst, basierend darauf, was der Agent zu diesem Zeitpunkt gerade tat.
AV/EDR kann Level auf verschiedene Arten beeinträchtigen, nicht nur durch das Entfernen der Binärdatei:
Den Agentenprozess direkt beenden (Gerät geht offline)
Bestimmte ausgehende Verbindungen blockieren (Verbindungsprüfungen schlagen fehl, Websocket bricht ab)
WMI-Aufrufe stören (Automatisierungen laufen in Timeout oder schlagen auf halbem Weg fehl)
Den Prozess drosseln oder anhalten (Gerät erscheint online, aber Remotesitzungen stellen keine Verbindung her)
Den Agenten daran hindern, untergeordnete Prozesse zu starten (Skripte können nicht ausgeführt werden)
Wenn sich etwas in Level seltsam verhält – nicht nur offline gegangene Geräte, sondern auch sporadische Automatisierungsfehler, hängende Skripte oder Remotesitzungen, die keine Verbindung aufbauen – ist eine AV/EDR-Beeinträchtigung eine wahrscheinliche Ursache, auch wenn Ihre Sicherheitssoftware nichts anzeigt.
Ausnahmepfade
Fügen Sie diese Pfade zur Ausnahme- oder Vertrauensliste Ihrer Sicherheitssoftware hinzu:
🖥️ HINWEIS ZUR PLATTFORM:
Windows:
C:\Program Files\Level\level.exe
C:\Program Files\Level\level.update
C:\Program Files\Level\winpty-agent.exe
C:\Program Files\Level\.level.exe.new
C:\Program Files\Level\.level.exe.old
macOS:
/Applications/Level.app/Contents/MacOS/level
Linux:
/usr/local/bin/level
💡 TIPP: Verwenden Sie pfadbasierte Ausnahmen für die spezifischen ausführbaren Dateien, nicht für den gesamten Level Ordner. Das Ausschließen des Ordners würde auch alles abdecken, was ein Angreifer dort ablegen könnte.
Zertifikatbasierte Ausnahmen
Zertifikatbasierte Ausnahmen sind robuster als pfadbasierte. Level liefert wöchentliche Agenten-Updates – hashbasierte Ausnahmen werden bei jedem Release ungültig, und pfadbasierte Ausnahmen überprüfen nicht die Authentizität der Binärdatei. Zertifikatausnahmen überstehen Updates automatisch und erlauben nur ordnungsgemäß signierte Level-Binärdateien zur Ausführung.
ℹ️ HINWEIS: Nicht alle AV/EDR-Produkte unterstützen zertifikatbasierte Ausnahmen vollständig. SentinelOne zum Beispiel berücksichtigt diese für Interoperabilitätsausnahmen nicht. Wenn Sie nicht sicher sind, ob Ihr Produkt zertifikatbasierte Regeln respektiert, verwenden Sie stattdessen pfadbasierte Ausnahmen – diese werden breit unterstützt und sind effektiv.
Herausgeberinformationen:
Feld | Wert |
Herausgeber | Level Software, Inc. |
Aussteller | DigiCert, Inc. |
Seriennummer |
|
SHA-1 |
|
SHA-256 |
|
So überprüfen Sie das Zertifikat der installierten Binärdatei (Windows):
Navigieren Sie zu
C:\Program Files\Level.Rechtsklick auf
level.exeund wählen Sie Eigenschaften.Klicken Sie auf die Digitale Signaturen Registerkarte.
Wählen Sie „Level Software, Inc." und klicken Sie auf Details → Zertifikat anzeigen.
Bestätigen Sie, dass der Fingerabdruck mit dem oben angegebenen SHA-256-Wert übereinstimmt.
ℹ️ HINWEIS: Überprüfen Sie Zertifikatsdetails stets anhand der Werte, die direkt aus Ihrer installierten Binärdatei entnommen wurden. Details können je nach Version leicht abweichen.
Windows Defender-Ausnahmen
Wenn Sie Windows Defender verwenden, nutzen Sie die unten stehende Automatisierung oder das Skript, um Ausnahmen auf Ihre Geräte zu übertragen. Beide können direkt in Level importiert werden.
Automatisierung importieren (empfohlen für mehrere Geräte): https://app.level.io/import/automation/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xNzM
Skript importieren (für einzelne Geräte): https://app.level.io/import/script/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xOTU
PowerShell-Skript – Windows Defender-Ausnahme (manuell):
<#
This resource is provided as a convenience for Level users. We cannot
guarantee it will work in all environments. Please test before deploying
to your production environment. We welcome contributions to our community
library
Level Library
https://level.io/library
#>
# Define paths to exclude
$paths = @(
"C:\Program Files\Level\level.exe",
"C:\Program Files\Level\level.update",
"C:\Program Files\Level\winpty-agent.exe",
"C:\Program Files\Level\.level.exe.new",
"C:\Program Files\Level\.level.exe.old"
)
# Add temporary file paths
$tempInstallPath = Join-Path ([System.IO.Path]::GetTempPath()) "install_level.exe"
$tempWindowsAmd64Path = Join-Path ([System.IO.Path]::GetTempPath()) "level-windows-amd64.exe"
$paths += $tempInstallPath
$paths += $tempWindowsAmd64Path
# Add path exclusions
foreach ($path in $paths) {
Add-MpPreference -ExclusionPath $path -ErrorAction SilentlyContinue
}
# Add process name exclusion
Add-MpPreference -ExclusionProcess "level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level.msi" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "install_level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level-windows-amd64.exe" -ErrorAction SilentlyContinue
# Display confirmation
Write-Output "Current Exclusion Paths:"
(Get-MpPreference).ExclusionPath
Write-Output "`nCurrent Exclusion Processes:"
(Get-MpPreference).ExclusionProcess
⚠️ WARNUNG: Wenn ein Gerät bereits offline ist, weil der Agent quarantänisiert oder entfernt wurde, können Sie dieses Skript nicht über Level übertragen. Sie benötigen lokalen oder Out-of-Band-Zugriff, um zuerst Ausnahmen hinzuzufügen. Siehe Wenn Geräte bereits offline sind unten.
Wenn Geräte bereits offline sind
Wenn AV/EDR Level blockiert, ohne eine Warnung zu erzeugen, wird das Gerät ohne offensichtliche Anzeichen dunkel. Anzeichen dafür, dass dies die Ursache ist:
Gerät ist online und von anderen Tools erreichbar, aber in Level offline
Nur einige Geräte sind betroffen, obwohl überall dasselbe AV/EDR eingesetzt wird (dies ist normal – verhaltensbasierte Erkennung ist von Natur aus inkonsistent)
Automatisierungen schlagen fehl oder laufen auf ansonsten gesund erscheinenden Geräten in Timeout
Die
level.exeBinärdatei fehlt inC:\Program Files\Level\– Level hat keinen Mechanismus, um seine eigene Binärdatei zu entfernen, daher bedeutet deren Abwesenheit, dass AV/EDR sie gelöscht oder quarantänisiert hat
Zur Behebung: verschaffen Sie sich Out-of-Band-Zugriff auf das Gerät, fügen Sie die Ausnahmen über die Verwaltungskonsole Ihrer Sicherheitssoftware oder das obige PowerShell-Skript hinzu, und überprüfen Sie dann, ob die Binärdatei vorhanden ist. Falls sie entfernt wurde, installieren Sie den Agenten nach dem Hinzufügen der Ausnahmen neu.
⚠️ WARNUNG: Installieren Sie den Agenten nicht neu, bevor Sie Ausnahmen hinzugefügt haben. AV/EDR wird die Binärdatei sofort wieder entfernen.
Häufig gestellte Fragen
Ich habe Ausnahmen hinzugefügt, aber das Gerät ist noch offline. Was jetzt? Ausnahmen verhindern künftige Beeinträchtigungen, machen aber bereits Geschehenes nicht rückgängig. Prüfen Sie, ob die
level.exeBinärdatei noch vorhanden ist inC:\Program Files\Level\– wenn sie von AV/EDR entfernt wurde, müssen Sie den Agenten neu installieren. Führen Sie--checknach der Neuinstallation, um zu bestätigen, dass die Konnektivität wiederhergestellt ist. Siehe Fehlerbehebung bei Offline-Geräten.Alle meine Geräte haben dasselbe AV/EDR. Warum ist Level nur auf einigen davon offline? Verhaltensbasierte Erkennung. Ihre Sicherheitssoftware gleicht Level nicht mit einer bekannt schädlichen Signatur ab – sie beobachtet, was Prozesse zur Laufzeit tun, und blockiert basierend auf Verhaltensmustern. Ob eine Erkennung ausgelöst wird, hängt davon ab, was der Agent in dem Moment getan hat, als die Heuristik ausgeführt wurde. Es ist üblich, dass bei einer viel größeren Geräteflotte mit identischer AV/EDR-Konfiguration nur 1–3 Geräte betroffen sind.
Mein EDR zeigt keine Erkennungen oder Quarantäneereignisse, aber Level verhält sich seltsam. Das ist konsistent mit verhaltensbasierter Beeinträchtigung. Manche Produkte blockieren oder drosseln bestimmte Vorgänge, ohne ein Erkennungsereignis zu erzeugen – keine Warnung, kein Quarantäneprotokoll, nichts. AV/EDR kann Websockets beenden, Netzwerkaufrufe blockieren, WMI-Timeouts verursachen oder den Agenten daran hindern, untergeordnete Prozesse zu starten – alles ohne die Binärdatei anzutasten. Fügen Sie Ausnahmen hinzu und beobachten Sie, ob sich die Probleme beheben.
Soll ich pfadbasierte oder zertifikatbasierte Ausnahmen verwenden? Zertifikatbasiert ist theoretisch sicherer und wartungsärmer, aber nicht alle Produkte berücksichtigen diese vollständig. SentinelOne zum Beispiel unterstützt zertifikatbasierte Ausnahmen für Interoperabilitätsausnahmen nicht – die Option ist vorhanden, hat aber nicht den beabsichtigten Effekt. Wenn Sie nicht sicher sind, ob Ihr AV/EDR zertifikatbasierte Ausnahmen vollständig respektiert, beginnen Sie mit pfadbasierten. Pfadbasierte Ausnahmen werden von allen Produkten breit unterstützt und sind die sicherere Standardoption. Vermeiden Sie hashbasierte Ausnahmen – Level liefert wöchentliche Updates und der Hash ändert sich bei jedem Release.
Wen soll ich kontaktieren, wenn mein EDR-Anbieter Level weiterhin kennzeichnet? Wenden Sie sich an den Level-Support. Das Team arbeitet direkt mit Sicherheitsanbietern an Klassifizierungsproblemen.