AV- und EDR-Tools kennzeichnen RMM-Agenten regelmäßig als potenziell unerwünschte Anwendungen (PUAs). Dies ist ein erwartetes Verhalten — ein RMM hat erhebliche Systemprivilegien, und Sicherheitsanbieter sind zu Recht vorsichtig bei unbekannten Remote-Access-Tools. Da Sie Level absichtlich bereitgestellt haben, besteht die Lösung darin, Ausschlüsse hinzuzufügen, damit Ihr Sicherheits-Stack dessen Ausführung erlaubt.
Warum dies geschieht
EDRs haben damit begonnen, RMMs standardmäßig als potenziell unerwünschte Programme (PUPs) zu klassifizieren. Dies ist eine angemessene Sicherheitsposition — RMMs bieten tiefgehenden Systemzugriff, einschließlich Remote-Steuerung, Hintergrundverwaltung, beliebige Skriptausführung und mehr. Jedes nicht autorisierte RMM in Ihrem Netzwerk sollte sofort gekennzeichnet werden.
Position von Level: EDRs sollten nicht genehmigten RMMs blockieren. Wenn Sie sich für die Verwendung von Level entschieden haben, ist das Erstellen einer Ausnahme in Ihrer Sicherheitssoftware die angemessene Antwort.
Für eine tiefere Diskussion zu diesem Thema siehe: EDRs Distrust RMMs, and That's OK
Wie AV/EDR Level tatsächlich beeinträchtigt
Dies ist wichtig zu verstehen, denn die Beeinträchtigung durch AV/EDR ist nicht immer offensichtlich. Die meisten Menschen erwarten ein Quarantäneereignis oder eine Benachrichtigung — aber verhaltensbasierte Erkennung erzeugt oft keine dieser Ereignisse.
Verhaltensbasierte Erkennung ist nicht signaturbasiert. AV/EDR-Produkte scannen nicht nur Dateien; sie überwachen, was Prozesse zur Laufzeit tun. Wenn das Verhalten des Agenten zu einem bestimmten Zeitpunkt eine Heuristik auslöst — ein Netzwerkaufrufmuster, eine WMI-Abfrage, eine Prozessstart — kann die Sicherheitssoftware diese Aktion blockieren oder beenden, ohne etwas zu quarantänen. Keine Benachrichtigung, kein Protokolleintrag, keine Binärdatei-Entfernung.
Dies ist der Grund, warum Sie 50 Geräte mit derselben AV/EDR haben können, auf denen Level nur auf 2 offline ist. Dies ist kein inkonsistentes Verhalten Ihrer Sicherheitssoftware — es ist vielmehr, dass die Erkennung auf diesen 2 Geräten aufgrund dessen, was der Agent gerade tat, ausgelöst wurde.
AV/EDR kann Level auf verschiedene Weise beeinflussen, über die bloße Entfernung der Binärdatei hinaus:
Beenden Sie den Agent-Prozess direkt (Gerät geht offline)
Blockieren Sie bestimmte ausgehende Verbindungen (Konnektivitätsprüfungen schlagen fehl, Websocket wird getrennt)
Beeinträchtigen Sie WMI-Aufrufe (Automatisierungen schlagen fehl oder werden teilweise fehlgeschlagen)
Drosseln oder unterbrechen Sie den Prozess (Gerät ist online, aber Remote-Sitzungen werden nicht verbunden)
Blockieren Sie den Agent vom Spawnen untergeordneter Prozesse (Skriptausführung schlägt fehl)
Wenn etwas in Level seltsam verhält — nicht nur Offline-Geräte, sondern zwischenzeitliche Automationsfehler, Skripte, die hängen bleiben, Remote-Sitzungen, die sich nicht herstellen lassen — ist die Beeinträchtigung durch AV/EDR eine wahrscheinliche Ursache, auch wenn Ihre Sicherheitssoftware nichts anzeigt.
Ausschluss-Pfade
Fügen Sie diese Pfade zur Ausschlussliste oder Vertrauensliste Ihrer Sicherheitssoftware hinzu:
🖥️ PLATTFORMHINWEIS:
Windows:
C:\\Program Files\\Level\\level.exe
C:\\Program Files\\Level\\level.update
C:\\Program Files\\Level\\winpty-agent.exe
C:\\Program Files\\Level\\.level.exe.new
C:\\Program Files\\Level\\.level.exe.old
macOS:
/Applications/Level.app/Contents/MacOS/level
Linux:
/usr/local/bin/level
💡 TIPP: Verwenden Sie pfadbasierte Ausschlüsse für die spezifischen Ausführungsdateien, nicht für den gesamten Level-Ordner. Ein Ausschluss für den Ordner würde auch alles abdecken, das ein Angreifer dort ablegen könnte.
Zertifikatbasierte Ausschlüsse
Zertifikatbasierte Ausschlüsse sind widerstandsfähiger als pfadbasierte. Level stellt wöchentliche Agent-Updates bereit — Hash-basierte Ausschlüsse brechen bei jedem Release, und pfadbasierte Ausschlüsse überprüfen nicht die Authentizität der Binärdatei. Zertifikatsausschlüsse überstehen Updates automatisch und ermöglichen nur die Ausführung ordnungsgemäß signierter Level-Binärdateien.
ℹ️ HINWEIS: Nicht alle AV/EDR-Produkte unterstützen zertifikatbasierte Ausschlüsse vollständig. SentinelOne zum Beispiel ehrt sie nicht für Interoperabilitätsausschlüsse. Wenn Sie sich nicht sicher sind, dass Ihr Produkt zertifikatbasierte Regeln respektiert, verwenden Sie stattdessen pfadbasierte Ausschlüsse — sie werden weit verbreitet unterstützt und sind wirksam.
Herausgeberinformationen:
Feld | Wert |
Herausgeber | Level Software, Inc. |
Aussteller | DigiCert, Inc. |
Seriennummer |
|
SHA-1 |
|
SHA-256 |
|
So überprüfen Sie das Zertifikat in der installierten Binärdatei (Windows):
Navigieren Sie zu
C:\\Program Files\\Level.Klicken Sie mit der rechten Maustaste auf
level.exeund wählen Sie Eigenschaften.Klicken Sie auf die Registerkarte Digitale Signaturen.
Wählen Sie "Level Software, Inc." und klicken Sie auf Details → Zertifikat anzeigen.
Bestätigen Sie, dass der Fingerabdruck mit dem SHA-256-Wert oben übereinstimmt.
ℹ️ HINWEIS: Überprüfen Sie immer die Zertifikatdetails gegen Werte, die direkt aus Ihrer installierten Binärdatei extrahiert wurden. Die Details können zwischen Versionen leicht variieren.
Windows Defender-Ausschlüsse
Wenn Sie Windows Defender verwenden, verwenden Sie die Automatisierung oder das Skript unten, um Ausschlüsse auf Ihren Geräten bereitzustellen. Beide können direkt in Level importiert werden.
Automatisierung importieren (empfohlen für mehrere Geräte): https://app.level.io/import/automation/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xNzM
Skript importieren (für einzelne Geräte): https://app.level.io/import/script/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xOTU
PowerShell-Skript - Windows Defender-Ausschluss (manuell):
<#
Diese Ressource wird für Level-Benutzer bereitgestellt. Wir können nicht
garantieren, dass sie in allen Umgebungen funktioniert. Bitte vor dem Bereitstellen
in Ihrer Produktionsumgebung testen. Wir freuen uns auf Beiträge zu unserer Community
Library
Level Library
https://level.io/library
#>
# Definieren Sie die auszuschließenden Pfade
$paths = @(
\"C:\\Program Files\\Level\\level.exe\",
\"C:\\Program Files\\Level\\level.update\",
\"C:\\Program Files\\Level\\winpty-agent.exe\",
\"C:\\Program Files\\Level\\.level.exe.new\",
\"C:\\Program Files\\Level\\.level.exe.old\"
)
# Fügen Sie temporäre Dateipfade hinzu
$tempInstallPath = Join-Path ([System.IO.Path]::GetTempPath()) \"install_level.exe\"
$tempWindowsAmd64Path = Join-Path ([System.IO.Path]::GetTempPath()) \"level-windows-amd64.exe\"
$paths += $tempInstallPath
$paths += $tempWindowsAmd64Path
# Fügen Sie Pfadausschlüsse hinzu
foreach ($path in $paths) {
Add-MpPreference -ExclusionPath $path -ErrorAction SilentlyContinue
}
# Fügen Sie Prozessnamen-Ausschluss hinzu
Add-MpPreference -ExclusionProcess \"level.exe\" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess \"level.msi\" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess \"install_level.exe\" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess \"level-windows-amd64.exe\" -ErrorAction SilentlyContinue
# Bestätigung anzeigen
Write-Output \"Aktuelle Ausschluss-Pfade:\"
(Get-MpPreference).ExclusionPath
Write-Output \"`nAktuelle Ausschluss-Prozesse:\"
(Get-MpPreference).ExclusionProcess
⚠️ WARNUNG: Wenn ein Gerät bereits offline ist, weil der Agent unter Quarantäne gestellt oder entfernt wurde, können Sie dieses Skript nicht über Level pushen. Sie benötigen lokalen oder Out-of-Band-Zugriff, um zunächst Ausschlüsse hinzuzufügen. Siehe Wenn Geräte bereits offline sind unten.
Wenn Geräte bereits offline sind
Wenn AV/EDR Level blockiert, ohne eine Benachrichtigung zu generieren, geht das Gerät dunkel mit keiner offensichtlichen Anzeige. Zeichen, dass dies die Ursache ist:
Gerät ist online und für andere Tools erreichbar, aber offline in Level
Nur einige Geräte sind betroffen, obwohl dieselbe AV/EDR überall bereitgestellt wird (dies ist normal — verhaltensbasierte Erkennung ist von Natur aus inkonsistent)
Automatisierungen schlagen fehl oder zeitüberschreitung auf ansonsten healthy-aussehenden Geräten
Die
level.exe-Binärdatei fehlt inC:\\Program Files\\Level\\— Level hat keinen Mechanismus, um seine eigene Binärdatei zu entfernen, daher bedeutet Abwesenheit, dass AV/EDR sie gelöscht oder unter Quarantäne gestellt hat
Zur Auflösung: Erhalten Sie Out-of-Band-Zugriff auf das Gerät, fügen Sie die Ausschlüsse über die Verwaltungskonsole Ihrer Sicherheitssoftware oder das oben angegebene PowerShell-Skript hinzu, und überprüfen Sie, ob die Binärdatei vorhanden ist. Wenn sie entfernt wurde, installieren Sie den Agent nach dem Hinzufügen der Ausschlüsse neu.
⚠️ WARNUNG: Installieren Sie den Agent nicht erneut, bevor Sie Ausschlüsse hinzufügen. AV/EDR wird die Binärdatei sofort erneut entfernen.
Häufig gestellte Fragen
Ich habe Ausschlüsse hinzugefügt, aber das Gerät ist immer noch offline. Und jetzt? Ausschlüsse verhindern zukünftige Beeinträchtigung, rückgängig machen aber nicht, was bereits passiert ist. Überprüfen Sie, ob die
level.exe-Binärdatei noch inC:\\Program Files\\Level\\vorhanden ist — wenn sie von AV/EDR entfernt wurde, müssen Sie den Agent neu installieren. Führen Sie--checknach der Neuinstallation aus, um zu bestätigen, dass die Konnektivität wiederhergestellt ist. Siehe Offline Troubleshooting.Alle meine Geräte haben dieselbe AV/EDR. Warum ist Level nur auf einigen von ihnen offline? Verhaltensbasierte Erkennung. Ihre Sicherheitssoftware ordnet Level nicht gegen eine bekannt schädliche Signatur ein — sie überwacht, was Prozesse zur Laufzeit tun, und blockiert basierend auf Verhaltensmustern. Ob eine Erkennung ausgelöst wird, hängt davon ab, was der Agent gerade in dem Moment tat, als die Heuristik ausgeführt wurde. Es ist üblich, dass nur 1–3 Geräte einer viel größeren Flotte mit identischer AV/EDR-Konfiguration betroffen sind.
Mein EDR zeigt keine Erkennungen oder Quarantäneereignisse, aber Level verhält sich seltsam. Das ist konsistent mit verhaltensbasierter Beeinträchtigung. Einige Produkte blockieren oder drosseln bestimmte Operationen, ohne ein Erkennungsereignis zu generieren — keine Benachrichtigung, kein Quarantäneprotokoll, nichts. AV/EDR kann Websockets töten, Netzwerkaufrufe blockieren, WMI-Timeouts verursachen oder verhindern, dass der Agent untergeordnete Prozesse spawnt, alles ohne die Binärdatei zu berühren. Fügen Sie Ausschlüsse hinzu und überwachen Sie, ob die Probleme behoben sind.
Sollte ich pfad-basierte oder zertifikat-basierte Ausschlüsse verwenden? Zertifikatbasiert ist theoretisch sicherer und wartungsärmer, aber nicht alle Produkte ehren sie vollständig. SentinelOne zum Beispiel unterstützt zertifikatbasierte Ausschlüsse für Interoperabilitätsausschlüsse nicht — die Option existiert, wird aber nicht die beabsichtigte Wirkung haben. Wenn Sie nicht sicher sind, dass Ihre AV/EDR zertifikatbasierte Ausschlüsse vollständig respektiert, beginnen Sie mit pfadbasierten. Pfadbasiert wird in allen Produkten weit unterstützt und ist der sicherere Standard. Vermeiden Sie Hash-basiert — Level stellt wöchentliche Updates bereit und der Hash ändert sich bei jedem Release.
Wen sollte ich kontaktieren, wenn mein EDR-Anbieter Level weiterhin kennzeichnet? Kontaktieren Sie Level Support. Das Team arbeitet direkt mit Sicherheitsanbietern an Klassifizierungsproblemen zusammen.