Einführung
AV- und EDR-Tools kennzeichnen RMM-Agenten regelmäßig als potenziell unerwünschte Anwendungen (PUAs). Dies ist ein erwartetes Verhalten – ein RMM verfügt über erhebliche Systemprivilegien, und Sicherheitsanbieter handeln richtig, wenn sie unbekannte Fernzugriffstools mit Skepsis behandeln. Da Sie Level bewusst eingesetzt haben, besteht die Lösung darin, Ausnahmen hinzuzufügen, damit Ihr Sicherheits-Stack die Ausführung zulässt.
Warum das passiert
EDRs haben damit begonnen, RMMs standardmäßig als potenziell unerwünschte Programme (PUPs) einzustufen. Das ist eine vernünftige Sicherheitshaltung – RMMs bieten tiefen Systemzugriff, einschließlich Fernsteuerung, Hintergrundverwaltung, beliebige Skriptausführung und mehr. Jedes nicht autorisierte RMM, das in Ihrem Netzwerk läuft, sollte sofort gekennzeichnet werden.
Level's Standpunkt: EDRs sollten nicht genehmigte RMMs blockieren. Wenn Sie sich für die Nutzung von Level entschieden haben, ist das Erstellen einer Ausnahme in Ihrer Sicherheitssoftware die angemessene Reaktion.
Für eine ausführlichere Diskussion hierzu, siehe: EDRs Distrust RMMs, and That's OK
Wie AV/EDR Level tatsächlich beeinträchtigt
Das ist wichtig zu verstehen, da AV/EDR-Beeinträchtigungen nicht immer offensichtlich sind. Die meisten Menschen erwarten ein Quarantäneereignis oder eine Warnung – aber verhaltensbasierte Erkennung erzeugt oft keines von beidem.
Verhaltensbasierte Erkennung ist nicht signaturbasiert. AV/EDR-Produkte scannen nicht nur Dateien; sie beobachten, was Prozesse zur Laufzeit tun. Wenn das Verhalten des Agenten in einem bestimmten Moment eine Heuristik auslöst – ein Netzwerkaufrufmuster, eine WMI-Abfrage, ein Prozess-Spawn – kann die Sicherheitssoftware diese Aktion blockieren oder beenden, ohne irgendetwas unter Quarantäne zu stellen. Keine Warnung, kein Protokolleintrag, keine binäre Entfernung.
Deshalb können Sie 50 Geräte mit demselben AV/EDR betreiben und nur bei 2 davon Level als offline anzeigen. Das ist kein inkonsistentes Verhalten Ihrer Sicherheitssoftware – die Erkennung wurde auf diesen 2 Geräten basierend darauf ausgelöst, was der Agent zu diesem Zeitpunkt gerade getan hat.
AV/EDR kann Level auf andere Arten beeinträchtigen als nur durch das Entfernen der Binärdatei:
Den Agentenprozess direkt beenden (Gerät geht offline)
Bestimmte ausgehende Verbindungen blockieren (Konnektivitätsprüfungen schlagen fehl, Websocket bricht ab)
WMI-Aufrufe beeinträchtigen (Automatisierungen laufen in einen Timeout oder schlagen teilweise fehl)
Den Prozess drosseln oder anhalten (Gerät erscheint online, aber Remote-Sitzungen können keine Verbindung herstellen)
Den Agenten daran hindern, untergeordnete Prozesse zu starten (Skripte werden nicht ausgeführt)
Wenn sich etwas in Level seltsam verhält – nicht nur offline Geräte, sondern auch zeitweilige Automatisierungsfehler, hängende Skripte, Remote-Sitzungen, die nicht aufgebaut werden können – ist eine AV/EDR-Beeinträchtigung eine wahrscheinliche Ursache, auch wenn Ihre Sicherheitssoftware nichts anzeigt.
Ausschlusspfade
Fügen Sie diese Pfade zur Ausschluss- oder Vertrauensliste Ihrer Sicherheitssoftware hinzu:
🖥️ PLATTFORMHINWEIS:
Windows:
C:\Program Files\Level\level.exe
C:\Program Files\Level\level.update
C:\Program Files\Level\winpty-agent.exe
C:\Program Files\Level\.level.exe.new
C:\Program Files\Level\.level.exe.old
macOS:
/Applications/Level.app/Contents/MacOS/level
Linux:
/usr/local/bin/level
💡 TIPP: Verwenden Sie pfadbasierte Ausschlüsse für die spezifischen ausführbaren Dateien, nicht für den gesamten Level Ordner. Das Ausschließen des Ordners würde auch alles abdecken, was ein Angreifer dort ablegen könnte.
Zertifikatbasierte Ausschlüsse
Zertifikatbasierte Ausschlüsse sind robuster als pfadbasierte. Level liefert wöchentliche Agenten-Updates – hashbasierte Ausschlüsse werden bei jeder Version ungültig, und pfadbasierte Ausschlüsse überprüfen nicht die Authentizität der Binärdatei. Zertifikatausschlüsse überstehen Updates automatisch und erlauben nur ordnungsgemäß signierten Level-Binärdateien die Ausführung.
ℹ️ HINWEIS: Nicht alle AV/EDR-Produkte unterstützen zertifikatbasierte Ausschlüsse vollständig. SentinelOne beispielsweise berücksichtigt diese nicht für Interoperabilitätsausschlüsse. Wenn Sie nicht sicher sind, ob Ihr Produkt zertifikatbasierte Regeln respektiert, verwenden Sie stattdessen pfadbasierte Ausschlüsse – diese werden breit unterstützt und sind effektiv.
Herausgeberinformationen:
Feld | Wert |
Herausgeber | Level Software, Inc. |
Aussteller | DigiCert, Inc. |
Seriennummer |
|
SHA-1 |
|
SHA-256 |
|
So überprüfen Sie das Zertifikat auf der installierten Binärdatei (Windows):
Navigieren Sie zu
C:\Program Files\Level.Klicken Sie mit der rechten Maustaste auf
level.exeund wählen Sie Eigenschaften.Klicken Sie auf die Digitale Signaturen Registerkarte.
Wählen Sie „Level Software, Inc." und klicken Sie auf Details → Zertifikat anzeigen.
Bestätigen Sie, dass der Fingerabdruck mit dem oben angegebenen SHA-256-Wert übereinstimmt.
ℹ️ HINWEIS: Überprüfen Sie Zertifikatsdetails immer anhand von Werten, die direkt aus Ihrer installierten Binärdatei extrahiert wurden. Details können zwischen Versionen leicht variieren.
Windows Defender-Ausschlüsse
Wenn Sie Windows Defender verwenden, nutzen Sie die untenstehende Automatisierung oder das Skript, um Ausschlüsse auf Ihre Geräte zu übertragen. Beides kann direkt in Level importiert werden.
Automatisierung importieren (empfohlen für mehrere Geräte): https://app.level.io/import/automation/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xNzM
Skript importieren (für einzelne Geräte): https://app.level.io/import/script/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xOTU
PowerShell-Skript – Windows Defender-Ausschluss (manuell):
<#
This resource is provided as a convenience for Level users. We cannot
guarantee it will work in all environments. Please test before deploying
to your production environment. We welcome contributions to our community
library
Level Library
https://level.io/library
#>
# Define paths to exclude
$paths = @(
"C:\Program Files\Level\level.exe",
"C:\Program Files\Level\level.update",
"C:\Program Files\Level\winpty-agent.exe",
"C:\Program Files\Level\.level.exe.new",
"C:\Program Files\Level\.level.exe.old"
)
# Add temporary file paths
$tempInstallPath = Join-Path ([System.IO.Path]::GetTempPath()) "install_level.exe"
$tempWindowsAmd64Path = Join-Path ([System.IO.Path]::GetTempPath()) "level-windows-amd64.exe"
$paths += $tempInstallPath
$paths += $tempWindowsAmd64Path
# Add path exclusions
foreach ($path in $paths) {
Add-MpPreference -ExclusionPath $path -ErrorAction SilentlyContinue
}
# Add process name exclusion
Add-MpPreference -ExclusionProcess "level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level.msi" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "install_level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level-windows-amd64.exe" -ErrorAction SilentlyContinue
# Display confirmation
Write-Output "Current Exclusion Paths:"
(Get-MpPreference).ExclusionPath
Write-Output "`nCurrent Exclusion Processes:"
(Get-MpPreference).ExclusionProcess
⚠️ WARNUNG: Wenn ein Gerät bereits offline ist, weil der Agent unter Quarantäne gestellt oder entfernt wurde, können Sie dieses Skript nicht über Level übertragen. Sie benötigen lokalen oder Out-of-Band-Zugriff, um zuerst Ausschlüsse hinzuzufügen. Siehe Wenn Geräte bereits offline sind unten.
Wenn Geräte bereits offline sind
Wenn AV/EDR Level blockiert, ohne eine Warnung zu erzeugen, wird das Gerät dunkel, ohne einen offensichtlichen Hinweis. Anzeichen dafür, dass dies die Ursache ist:
Gerät ist online und mit anderen Tools erreichbar, aber in Level offline
Nur einige Geräte sind betroffen, obwohl dasselbe AV/EDR überall eingesetzt wird (das ist normal – verhaltensbasierte Erkennung ist von Natur aus inkonsistent)
Automatisierungen schlagen fehl oder laufen in einen Timeout auf ansonsten gesund aussehenden Geräten
Die
level.exeBinärdatei fehlt inC:\Program Files\Level\– Level hat keinen Mechanismus, um seine eigene Binärdatei zu entfernen, daher bedeutet das Fehlen, dass AV/EDR sie gelöscht oder unter Quarantäne gestellt hat
Zur Lösung: Verschaffen Sie sich Out-of-Band-Zugriff auf das Gerät, fügen Sie die Ausschlüsse über die Verwaltungskonsole Ihrer Sicherheitssoftware oder das obige PowerShell-Skript hinzu, und überprüfen Sie dann, ob die Binärdatei vorhanden ist. Falls sie entfernt wurde, installieren Sie den Agenten nach dem Hinzufügen der Ausschlüsse neu.
⚠️ WARNUNG: Installieren Sie den Agenten nicht neu, bevor Sie Ausschlüsse hinzugefügt haben. AV/EDR wird die Binärdatei sofort wieder entfernen.
FAQ
Ich habe Ausschlüsse hinzugefügt, aber das Gerät ist immer noch offline. Was nun? Ausschlüsse verhindern zukünftige Beeinträchtigungen, machen aber nicht rückgängig, was bereits passiert ist. Überprüfen Sie, ob die
level.exeBinärdatei noch inC:\Program Files\Level\– wenn sie von AV/EDR entfernt wurde, müssen Sie den Agenten neu installieren. Führen Sie--checknach der Neuinstallation, um zu bestätigen, dass die Konnektivität wiederhergestellt wurde. Siehe Fehlerbehebung bei Offline-Geräten.Alle meine Geräte haben dasselbe AV/EDR. Warum ist Level nur auf einigen davon offline? Verhaltensbasierte Erkennung. Ihre Sicherheitssoftware gleicht Level nicht mit einer bekannten Schadcode-Signatur ab – sie beobachtet, was Prozesse zur Laufzeit tun, und blockiert auf der Grundlage von Verhaltensmustern. Ob eine Erkennung ausgelöst wird, hängt davon ab, was der Agent in dem Moment getan hat, als die Heuristik ausgeführt wurde. Es ist üblich, dass nur 1–3 Geräte betroffen sind, während der Rest einer viel größeren Flotte mit identischer AV/EDR-Konfiguration unberührt bleibt.
Mein EDR zeigt keine Erkennungen oder Quarantäneereignisse, aber Level verhält sich merkwürdig. Das ist konsistent mit verhaltensbasierter Interferenz. Einige Produkte blockieren oder drosseln bestimmte Vorgänge, ohne ein Erkennungsereignis zu erzeugen – keine Warnung, kein Quarantäne-Protokoll, nichts. AV/EDR kann Websockets beenden, Netzwerkaufrufe blockieren, WMI-Timeouts verursachen oder verhindern, dass der Agent untergeordnete Prozesse startet – alles ohne die Binärdatei anzutasten. Fügen Sie Ausnahmen hinzu und beobachten Sie, ob sich die Probleme beheben.
Soll ich pfadbasierte oder zertifikatsbasierte Ausnahmen verwenden? Zertifikatsbasierte Ausnahmen sind theoretisch sicherer und wartungsärmer, aber nicht alle Produkte unterstützen sie vollständig. SentinelOne beispielsweise unterstützt keine zertifikatsbasierten Ausnahmen für Interoperabilitätsausnahmen – die Option ist zwar vorhanden, hat jedoch nicht den beabsichtigten Effekt. Wenn Sie nicht sicher sind, ob Ihr AV/EDR zertifikatsbasierte Ausnahmen vollständig berücksichtigt, beginnen Sie mit pfadbasierten Ausnahmen. Pfadbasierte Ausnahmen werden von allen Produkten weitgehend unterstützt und sind die sicherere Standardoption. Vermeiden Sie hashbasierte Ausnahmen – Level wird wöchentlich aktualisiert und der Hash ändert sich mit jeder Version.
Wen soll ich kontaktieren, wenn mein EDR-Anbieter Level weiterhin als Bedrohung einstuft? Wenden Sie sich an den Level Support. Das Team arbeitet direkt mit Sicherheitsanbietern zusammen, um Klassifizierungsprobleme zu beheben.