Einführung
AV- und EDR-Tools kennzeichnen RMM-Agenten regelmäßig als potenziell unerwünschte Anwendungen (PUAs). Dies ist erwartetes Verhalten — ein RMM hat erhebliche Systemprivilegien, und Sicherheitsanbieter sind zu Recht misstrauisch gegenüber unbekannten Remote-Access-Tools. Da Sie Level bewusst bereitgestellt haben, besteht die Lösung darin, Ausschlüsse hinzuzufügen, damit Ihr Sicherheitsstapel die Ausführung ermöglicht.
Warum das passiert
EDRs haben begonnen, RMMs standardmäßig als potenziell unerwünschte Programme (PUPs) zu klassifizieren. Dies ist eine vernünftige Sicherheitsposition — RMMs bieten tiefgehenden Systemzugriff, einschließlich Remote-Steuerung, Hintergrundverwaltung, willkürliche Skriptausführung und mehr. Jedes nicht autorisierte RMM, das in Ihrem Netzwerk ausgeführt wird, sollte sofort gekennzeichnet werden.
Levels Position: EDRs sollten nicht genehmigte RMMs blockieren. Falls Sie sich für die Verwendung von Level entschieden haben, ist das Erstellen einer Ausnahme in Ihrer Sicherheitssoftware die angemessene Reaktion.
Für eine tiefere Diskussion siehe:EDRs misstrauen RMMs, und das ist in Ordnung
Wie AV/EDR tatsächlich mit Level interferiert
Es ist wichtig, dies zu verstehen, da die Interferenz von AV/EDR nicht immer offensichtlich ist. Die meisten Menschen erwarten ein Quarantäneereignis oder eine Warnung — aber verhaltensbasierte Erkennung erzeugt oft keines von beiden.
Verhaltensbasierte Erkennung ist nicht signaturbasiert.AV/EDR-Produkte scannen nicht nur Dateien; sie beobachten, was Prozesse zur Laufzeit tun. Wenn das Verhalten des Agenten zu einem bestimmten Zeitpunkt eine Heuristik auslöst — ein Netzwerkaufrufmuster, eine WMI-Abfrage, eine Prozesserzeugung — kann die Sicherheitssoftware diese Aktion blockieren oder beenden, ohne etwas unter Quarantäne zu stellen. Keine Warnung, kein Protokolleintrag, keine Binärdatei-Entfernung.
Deshalb können 50 Geräte mit derselben AV/EDR laufen und nur 2 zeigen Level als offline. Dies ist kein inkonsistentes Verhalten Ihrer Sicherheitssoftware — es ist, dass die Erkennung auf diesen 2 Geräten ausgelöst wurde, basierend darauf, was der Agent zu diesem Zeitpunkt tat.
AV/EDR kann Level auf vielfältige Weise beeinflussen, nicht nur durch das Entfernen der Binärdatei:
Den Agent-Prozess direkt abbrechen (Gerät geht offline)
Spezifische ausgehende Verbindungen blockieren (Konnektivitätsprüfungen schlagen fehl, Websocket fällt aus)
Sich in WMI-Aufrufe einmischen (Automationen zeitlich begrenzt oder teilweise fehlgeschlagen)
Den Prozess drosseln oder aussetzen (Gerät erscheint online, aber Remote-Sitzungen verbinden sich nicht)
Den Agent vom Generieren von Kindprozessen blockieren (Skripte können nicht ausgeführt werden)
Falls etwas in Level sich seltsam verhält — nicht nur Offline-Geräte, sondern intermittierende Automatisierungsausfälle, Skripte, die hängen bleiben, Remote-Sitzungen, die sich nicht etablieren — ist die AV/EDR-Interferenz eine wahrscheinliche Ursache, auch wenn Ihre Sicherheitssoftware nichts zeigt.
Exclusion Paths
Fügen Sie diese Pfade zur Ausschluss- oder Vertrauensliste Ihrer Sicherheitssoftware hinzu:
🖥️ PLATFORM NOTE:
Windows:
C:\Program Files\Level\level.exe
C:\Program Files\Level\level.update
C:\Program Files\Level\winpty-agent.exe
C:\Program Files\Level\.level.exe.new
C:\Program Files\Level\.level.exe.old
macOS:
/Applications/Level.app/Contents/MacOS/level
Linux:
/usr/local/bin/level
💡 TIPP:Verwenden Sie pfadbasierte Ausschlüsse für die spezifischen Ausführungsdateien, nicht für den gesamten Ordner. Das Ausschließen des Ordners würde auch alles abdecken, das ein Angreifer dort ablegen könnte.Level
Zertifikatbasierte Ausschlüsse
Zertifikatbasierte Ausschlüsse sind widerstandsfähiger als pfadbasierte. Level versendet wöchentliche Agent-Updates — hashbasierte Ausschlüsse funktionieren bei jeder Version nicht mehr, und pfadbasierte Ausschlüsse überprüfen nicht die Authentizität der Binärdatei. Zertifikatausschlüsse überstehen Updates automatisch und ermöglichen nur die Ausführung ordnungsgemäß signierter Level-Binärdateien.
ℹ️ HINWEIS:Nicht alle AV/EDR-Produkte unterstützen vollständig zertifikatbasierte Ausschlüsse. Beispielsweise berücksichtigt SentinelOne diese nicht für Interoperabilitätsausschlüsse. Falls Sie sich nicht sicher sind, ob Ihr Produkt zertifikatbasierte Regeln respektiert, verwenden Sie stattdessen pfadbasierte Ausschlüsse — diese werden weit verbreitet unterstützt und sind wirksam.
Verlegerinformationen:
Field | Value |
Publisher | Level Software, Inc. |
Issuer | DigiCert, Inc. |
Serial |
|
SHA-1 |
|
SHA-256 |
|
Um das Zertifikat auf der installierten Binärdatei zu überprüfen (Windows):
Navigate to
C:\Program Files\Level.Right-click
level.exeand select Properties.Click the Digitale Signaturen tab.
Wählen Sie "Level Software, Inc." und klicken SieDetails → Zertifikat anzeigen.
Bestätigen Sie, dass der Fingerabdruck mit dem SHA-256-Wert oben übereinstimmt.
ℹ️ HINWEIS:Überprüfen Sie immer Zertifikatdetails anhand von Werten, die direkt aus Ihrer installierten Binärdatei extrahiert wurden. Details können zwischen Versionen leicht variieren.
Windows Defender-Ausschlüsse
Wenn Sie Windows Defender verwenden, nutzen Sie die Automatisierung oder das Skript unten, um Ausschlüsse auf Ihren Geräten zu implementieren. Beide sind direkt in Level importierbar.
Automatisierung importieren(empfohlen für mehrere Geräte):https://app.level.io/import/automation/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xNzM
Skript importieren(für einzelne Geräte):https://app.level.io/import/script/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xOTU
PowerShell-Skript - Windows Defender-Ausschluss (manuell):
<#
This resource is provided as a convenience for Level users. We cannot
guarantee it will work in all environments. Please test before deploying
to your production environment. We welcome contributions to our community
library
Level Library
https://level.io/library
#>
# Define paths to exclude
$paths = @(
"C:\Program Files\Level\level.exe",
"C:\Program Files\Level\level.update",
"C:\Program Files\Level\winpty-agent.exe",
"C:\Program Files\Level\.level.exe.new",
"C:\Program Files\Level\.level.exe.old"
)
# Add temporary file paths
$tempInstallPath = Join-Path ([System.IO.Path]::GetTempPath()) "install_level.exe"
$tempWindowsAmd64Path = Join-Path ([System.IO.Path]::GetTempPath()) "level-windows-amd64.exe"
$paths += $tempInstallPath
$paths += $tempWindowsAmd64Path
# Add path exclusions
foreach ($path in $paths) {
Add-MpPreference -ExclusionPath $path -ErrorAction SilentlyContinue
}
# Add process name exclusion
Add-MpPreference -ExclusionProcess "level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level.msi" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "install_level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level-windows-amd64.exe" -ErrorAction SilentlyContinue
# Display confirmation
Write-Output "Current Exclusion Paths:"
(Get-MpPreference).ExclusionPath
Write-Output "`nCurrent Exclusion Processes:"
(Get-MpPreference).ExclusionProcess
⚠️ WARNUNG:Falls ein Gerät bereits offline ist, weil der Agent unter Quarantäne gestellt oder entfernt wurde, können Sie dieses Skript nicht über Level pushen. Sie benötigen lokalen oder Out-of-Band-Zugriff, um zuerst Ausschlüsse hinzuzufügen. SieheFalls Geräte bereits offline sind below.
Falls Geräte bereits offline sind
Wenn AV/EDR Level ohne Warnung blockiert, wird das Gerät dunkel ohne offensichtliche Angabe. Zeichen, dass dies die Ursache ist:
Gerät ist online und von anderen Tools erreichbar, aber offline in Level
Nur einige Geräte sind betroffen, obwohl überall dieselbe AV/EDR bereitgestellt ist(dies ist normal — verhaltensbasierte Erkennung ist inkonsistent)
Automationen schlagen fehl oder zeitlich begrenzt auf ansonsten gesunden Geräten
The
level.exeBinärdatei fehlt inC:\Program Files\Level\— Level hat keinen Mechanismus, um seine eigene Binärdatei zu entfernen, daher bedeutet Abwesenheit, dass AV/EDR sie gelöscht oder unter Quarantäne gestellt hat
To resolve:Out-of-Band-Zugriff auf das Gerät erhalten, Ausschlüsse über die Verwaltungskonsole Ihrer Sicherheitssoftware oder das oben angegebene PowerShell-Skript hinzufügen, dann überprüfen, ob die Binärdatei vorhanden ist. Wenn sie entfernt wurde, installieren Sie den Agent nach dem Hinzufügen von Ausschlüssen neu.
⚠️ WARNUNG:Installieren Sie den Agent nicht neu, bevor Sie Ausschlüsse hinzufügen. AV/EDR wird die Binärdatei sofort erneut entfernen.
FAQ
Ich habe Ausschlüsse hinzugefügt, aber das Gerät ist immer noch offline. Was nun?Ausschlüsse verhindern zukünftige Interferenz, aber machen nicht rückgängig, was bereits geschehen ist. Überprüfen Sie, ob die
level.exeBinärdatei sich noch in befindetC:\Program Files\Level\— falls sie von AV/EDR entfernt wurde, müssen Sie den Agent neu installieren. Führen Sie aus--checknach der Neuinstallation, um zu bestätigen, dass die Konnektivität wiederhergestellt ist. SieheOffline-Fehlerbehebung.Alle meine Geräte haben dieselbe AV/EDR. Warum ist Level nur auf einigen offline?Verhaltensbasierte Erkennung. Ihre Sicherheitssoftware vergleicht Level nicht mit einer bekannten böswilligen Signatur — sie beobachtet, was Prozesse zur Laufzeit tun und blockiert basierend auf Verhaltensmustern. Ob eine Erkennung ausgelöst wird, hängt davon ab, was der Agent zu dem Zeitpunkt tat, als die Heuristik lief. Es ist üblich, nur 1-3 Geräte betroffen zu sehen, aus einer viel größeren Flotte mit identischer AV/EDR-Konfiguration.
Meine EDR zeigt keine Erkennungen oder Quarantäneereignisse, aber Level verhält sich seltsam.Dies ist konsistent mit verhaltensbasierter Interferenz. Einige Produkte blockieren oder drosseln spezifische Operationen ohne Generierung eines Erkennungsereignisses — keine Warnung, kein Quarantäneprotokoll, nichts. AV/EDR kann Websockets abtöten, Netzwerkaufrufe blockieren, WMI-Timeouts verursachen oder den Agent von der Erzeugung von Kindprozessen abhalten, alles ohne die Binärdatei zu berühren. Fügen Sie Ausschlüsse hinzu und überwachen Sie, ob sich die Probleme beheben.
Soll ich pfad- oder zertifikatbasierte Ausschlüsse verwenden?Zertifikatbasiert ist theoretisch sicherer und wartungsfreundlicher, aber nicht alle Produkte respektieren sie vollständig. SentinelOne beispielsweise unterstützt zertifikatbasierte Ausschlüsse für Interoperabilitätsausschlüsse nicht — die Option existiert, hat aber nicht die beabsichtigte Wirkung. Falls Sie sich nicht sicher sind, ob Ihre AV/EDR zertifikatbasierte Ausschlüsse vollständig respektiert, beginnen Sie mit pfadbasierten. Pfadbasiert wird überall unterstützt und ist die sicherere Standardwahl. Vermeiden Sie hashbasiert — Level versendet wöchentliche Updates und der Hash ändert sich bei jeder Version.
Wen sollte ich kontaktieren, wenn mein EDR-Anbieter Level weiterhin kennzeichnet?Kontaktieren Sie Level Support. Das Team arbeitet direkt mit Sicherheitsanbietern an Klassifizierungsproblemen.