Introducción
Las herramientas AV y EDR marcan regularmente los agentes RMM como aplicaciones potencialmente no deseadas (PUA). Este es un comportamiento esperado — un RMM tiene privilegios de sistema significativos, y los proveedores de seguridad tienen razón en tratar las herramientas de acceso remoto desconocidas con sospecha. Dado que ha implementado Level intencionalmente, la solución es agregar exclusiones para que su pila de seguridad le permita ejecutarse.
Por qué sucede esto
Los EDR han comenzado a clasificar los RMM como programas potencialmente no deseados (PUP) de forma predeterminada. Es una postura de seguridad razonable — los RMM proporcionan acceso profundo al sistema, incluido control remoto, administración de fondo, ejecución de scripts arbitrarios y más. Cualquier RMM no autorizado que se ejecute en su red debe ser marcado inmediatamente.
Posición de Level: Los EDR deben bloquear los RMM no aprobados. Si ha elegido usar Level, crear una excepción en su software de seguridad es la respuesta apropiada.
Para una discusión más profunda, consulte:Los EDR desconfían de los RMM, y está bien
Cómo AV/EDR realmente interfiere con Level
Es importante entender esto, porque la interferencia de AV/EDR no siempre es obvia. La mayoría de las personas esperan un evento de cuarentena o una alerta — pero la detección basada en comportamiento a menudo no produce ninguno.
La detección basada en comportamiento no es basada en firma.Los productos AV/EDR no solo escanean archivos; observan lo que hacen los procesos en tiempo de ejecución. Si el comportamiento del agente en un momento específico desencadena una heurística — un patrón de llamada de red, una consulta WMI, una generación de proceso — el software de seguridad puede bloquear o detener esa acción sin poner en cuarentena nada. Sin alerta, sin entrada de registro, sin eliminación binaria.
Es por eso que puede tener 50 dispositivos ejecutando el mismo AV/EDR y solo 2 muestran Level como sin conexión. No es un comportamiento inconsistente de su software de seguridad — es que la detección se activó en esos 2 dispositivos según lo que estaba haciendo el agente en ese momento.
AV/EDR puede afectar Level de formas más allá de solo eliminar el binario:
Matar el proceso del agente directamente (dispositivo se desconecta)
Bloquear conexiones salientes específicas (fallan las comprobaciones de conectividad, se cae websocket)
Interferir con llamadas WMI (las automatizaciones agotan el tiempo o fallan a mitad de camino)
Acelerar o suspender el proceso (el dispositivo aparece en línea pero las sesiones remotas no se conectan)
Bloquear al agente de generar procesos secundarios (los scripts no se ejecutan)
Si algo en Level se comporta de manera extraña — no solo dispositivos sin conexión, sino fallos intermitentes de automatización, scripts que se cuelgan, sesiones remotas que no se establecen — la interferencia de AV/EDR es una causa probable incluso si su software de seguridad no muestra nada.
Exclusion Paths
Agregue estas rutas a la lista de exclusión o confianza de su software de seguridad:
🖥️ PLATFORM NOTE:
Windows:
C:\Program Files\Level\level.exe
C:\Program Files\Level\level.update
C:\Program Files\Level\winpty-agent.exe
C:\Program Files\Level\.level.exe.new
C:\Program Files\Level\.level.exe.old
macOS:
/Applications/Level.app/Contents/MacOS/level
Linux:
/usr/local/bin/level
💡 CONSEJO:Utilice exclusiones basadas en rutas en los ejecutables específicos, no en la carpeta completa. Excluir la carpeta también cubriría cualquier cosa que un atacante pudiera poner allí.Level
Exclusiones basadas en certificados
Las exclusiones basadas en certificados son más resistentes que las basadas en rutas. Level envía actualizaciones de agentes semanales — las exclusiones basadas en hash se rompen con cada versión, y las exclusiones basadas en rutas no verifican la autenticidad del binario. Las exclusiones de certificado sobreviven a las actualizaciones automáticamente y solo permiten que se ejecuten los binarios de Level debidamente firmados.
ℹ️ NOTA:No todos los productos AV/EDR admiten completamente exclusiones basadas en certificados. SentinelOne, por ejemplo, no las respeta para exclusiones de interoperabilidad. Si no está seguro de que su producto respeta las reglas basadas en certificados, utilice exclusiones basadas en rutas en su lugar — son ampliamente compatibles y efectivas.
Información del editor:
Field | Value |
Publisher | Level Software, Inc. |
Issuer | DigiCert, Inc. |
Serial |
|
SHA-1 |
|
SHA-256 |
|
Para verificar el certificado en el binario instalado (Windows):
Navigate to
C:\Program Files\Level.Right-click
level.exeand select Properties.Click the Firmas digitales tab.
Seleccione "Level Software, Inc." y haga clicDetalles → Ver certificado.
Confirme que la huella digital coincida con el valor SHA-256 anterior.
ℹ️ NOTA:Siempre verifique los detalles del certificado contra los valores extraídos directamente de su binario instalado. Los detalles pueden variar ligeramente entre versiones.
Exclusiones de Windows Defender
Si está ejecutando Windows Defender, use la automatización o el script a continuación para insertar exclusiones en sus dispositivos. Ambos se pueden importar directamente en Level.
Importar la automatización(recomendado para múltiples dispositivos):https://app.level.io/import/automation/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xNzM
Importar el script(para dispositivos individuales):https://app.level.io/import/script/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xOTU
Script de PowerShell - Exclusión de Windows Defender (manual):
<#
This resource is provided as a convenience for Level users. We cannot
guarantee it will work in all environments. Please test before deploying
to your production environment. We welcome contributions to our community
library
Level Library
https://level.io/library
#>
# Define paths to exclude
$paths = @(
"C:\Program Files\Level\level.exe",
"C:\Program Files\Level\level.update",
"C:\Program Files\Level\winpty-agent.exe",
"C:\Program Files\Level\.level.exe.new",
"C:\Program Files\Level\.level.exe.old"
)
# Add temporary file paths
$tempInstallPath = Join-Path ([System.IO.Path]::GetTempPath()) "install_level.exe"
$tempWindowsAmd64Path = Join-Path ([System.IO.Path]::GetTempPath()) "level-windows-amd64.exe"
$paths += $tempInstallPath
$paths += $tempWindowsAmd64Path
# Add path exclusions
foreach ($path in $paths) {
Add-MpPreference -ExclusionPath $path -ErrorAction SilentlyContinue
}
# Add process name exclusion
Add-MpPreference -ExclusionProcess "level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level.msi" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "install_level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level-windows-amd64.exe" -ErrorAction SilentlyContinue
# Display confirmation
Write-Output "Current Exclusion Paths:"
(Get-MpPreference).ExclusionPath
Write-Output "`nCurrent Exclusion Processes:"
(Get-MpPreference).ExclusionProcess
⚠️ ADVERTENCIA:Si un dispositivo ya está sin conexión porque el agente fue puesto en cuarentena o eliminado, no puede insertar este script a través de Level. Necesitará acceso local o fuera de banda para agregar primero exclusiones. VerSi los dispositivos ya están sin conexión below.
Si los dispositivos ya están sin conexión
Cuando AV/EDR bloquea Level sin generar una alerta, el dispositivo se desconecta sin indicación obvia. Los signos de que esta es la causa:
El dispositivo está en línea y es alcanzable por otras herramientas, pero sin conexión en Level
Solo algunos dispositivos se ven afectados, aunque el mismo AV/EDR se implemente en todas partes(esto es normal — la detección basada en comportamiento es inconsistente por naturaleza)
Las automatizaciones fallan o agotan el tiempo en dispositivos que de otro modo se ven saludables
The
level.exeel binario falta deC:\Program Files\Level\— Level no tiene mecanismo para eliminar su propio binario, por lo que la ausencia significa que AV/EDR lo eliminó o lo puso en cuarentena
To resolve:obtenga acceso fuera de banda al dispositivo, agregue exclusiones usando la consola de administración de su software de seguridad o el script de PowerShell anterior, luego verifique que el binario esté presente. Si fue eliminado, reinstale el agente después de agregar exclusiones.
⚠️ ADVERTENCIA:No reinstale el agente antes de agregar exclusiones. AV/EDR eliminará el binario de nuevo inmediatamente.
FAQ
He agregado exclusiones pero el dispositivo sigue sin conexión. ¿Y ahora?Las exclusiones previenen la interferencia futura pero no deshacen lo que ya sucedió. Verifique si el
level.exebinario sigue presente enC:\Program Files\Level\— si fue eliminado por AV/EDR, necesitará reinstalar el agente. Ejecute--checkdespués de reinstalar para confirmar que se restauró la conectividad. VerSolución de problemas sin conexión.Todos mis dispositivos tienen el mismo AV/EDR. ¿Por qué Level está sin conexión solo en algunos?Detección basada en comportamiento. Su software de seguridad no está comparando Level contra una firma maliciosa conocida — está observando lo que hacen los procesos en tiempo de ejecución y bloqueando según patrones de comportamiento. Si una detección se activa depende de lo que estaba haciendo el agente cuando se ejecutó la heurística. Es común ver solo 1-3 dispositivos afectados de una flota mucho más grande con configuración AV/EDR idéntica.
Mi EDR no muestra detecciones ni eventos de cuarentena, pero Level se comporta de manera extraña.Esto es consistente con interferencia basada en comportamiento. Algunos productos bloquean o limitan operaciones específicas sin generar un evento de detección — sin alerta, sin registro de cuarentena, nada. AV/EDR puede matar websockets, bloquear llamadas de red, causar tiempos de espera de WMI o evitar que el agente genere procesos secundarios, todo sin tocar el binario. Agregue exclusiones y supervise si se resuelven los problemas.
¿Debo usar exclusiones basadas en rutas o en certificados?Las basadas en certificados son teóricamente más seguras y requieren menos mantenimiento, pero no todos los productos las respetan completamente. SentinelOne, por ejemplo, no admite exclusiones basadas en certificados para exclusiones de interoperabilidad — la opción existe pero no tendrá el efecto deseado. Si no está seguro de que su AV/EDR respeta completamente las exclusiones basadas en certificados, comience con las basadas en rutas. Las basadas en rutas se admiten ampliamente en todos los productos y es la opción predeterminada más segura. Evite las basadas en hash — Level envía actualizaciones semanales y el hash cambia con cada versión.
¿A quién debo contactar si mi proveedor EDR sigue marcando Level?Póngase en contacto con Level Support. El equipo trabaja directamente con proveedores de seguridad en problemas de clasificación.