Las herramientas AV y EDR marcan regularmente los agentes RMM como aplicaciones potencialmente no deseadas (PUA). Este es un comportamiento esperado — un RMM tiene privilegios del sistema significativos, y los proveedores de seguridad están en lo correcto al ser cautelosos con las herramientas de acceso remoto desconocidas. Dado que ha implementado Level intencionalmente, la solución es agregar exclusiones para que su pila de seguridad permita su ejecución.
Por qué sucede esto
Los EDRs han comenzado a clasificar los RMMs como programas potencialmente no deseados (PUPs) de forma predeterminada. Es una posición de seguridad razonable — los RMMs proporcionan acceso profundo al sistema, incluido el control remoto, la gestión en segundo plano, la ejecución de scripts arbitrarios y más. Cualquier RMM no autorizado que se ejecute en su red debe ser marcado inmediatamente.
Posición de Level: Los EDRs deben bloquear los RMMs no aprobados. Si ha elegido usar Level, crear una excepción en su software de seguridad es la respuesta apropiada.
Para una discusión más profunda sobre esto, vea: EDRs Distrust RMMs, and That's OK
Cómo AV/EDR interfiere realmente con Level
Esto es importante de entender, porque la interferencia de AV/EDR no siempre es obvia. La mayoría de las personas espera un evento de cuarentena o una alerta — pero la detección basada en comportamiento a menudo no produce ninguna de las dos.
La detección basada en comportamiento no es basada en firmas. Los productos AV/EDR no solo escanean archivos; observan lo que hacen los procesos en tiempo de ejecución. Si el comportamiento del agente en un momento específico activa una heurística — un patrón de llamada de red, una consulta de WMI, un generador de procesos — el software de seguridad puede bloquear o matar esa acción sin poner en cuarentena nada. Sin alerta, sin entrada de registro, sin extracción binaria.
Esta es la razón por la que puede tener 50 dispositivos ejecutando el mismo AV/EDR y solo 2 muestran Level como sin conexión. No es un comportamiento inconsistente de su software de seguridad — es que la detección se activó en esos 2 dispositivos en función de lo que el agente estaba haciendo en ese momento.
AV/EDR puede afectar a Level de maneras más allá de solo eliminar el binario:
Matar el proceso del agente directamente (el dispositivo se desconecta)
Bloquear conexiones salientes específicas (las pruebas de conectividad fallan, el websocket se cae)
Interferir con llamadas WMI (las automatizaciones se agotan o fallan a mitad de camino)
Acelerar o suspender el proceso (el dispositivo aparece en línea pero las sesiones remotas no se conectarán)
Bloquear el agente de generar procesos secundarios (los scripts no se ejecutan)
Si algo en Level se comporta de manera extraña — no solo dispositivos sin conexión, sino fallas de automatización intermitentes, scripts que se cuelgan, sesiones remotas que no se establecen — la interferencia de AV/EDR es una causa probable incluso si su software de seguridad no muestra nada.
Rutas de Exclusión
Agregue estas rutas a la lista de exclusión o confianza de su software de seguridad:
🖥️ NOTA DE PLATAFORMA:
Windows:
C:\\Program Files\\Level\\level.exe
C:\\Program Files\\Level\\level.update
C:\\Program Files\\Level\\winpty-agent.exe
C:\\Program Files\\Level\\.level.exe.new
C:\\Program Files\\Level\\.level.exe.old
macOS:
/Applications/Level.app/Contents/MacOS/level
Linux:
/usr/local/bin/level
💡 CONSEJO: Use exclusiones basadas en rutas en los ejecutables específicos, no en toda la carpeta Level. Excluir la carpeta también cubrirá cualquier cosa que un atacante pudiera soltar allí.
Exclusiones Basadas en Certificados
Las exclusiones basadas en certificados son más resilientes que las basadas en rutas. Level envía actualizaciones de agentes semanales — las exclusiones basadas en hash se rompen con cada lanzamiento, y las exclusiones basadas en rutas no verifican la autenticidad del binario. Las exclusiones de certificados sobreviven actualizaciones automáticamente y solo permiten que se ejecuten binarios de Level debidamente firmados.
ℹ️ NOTA: No todos los productos AV/EDR son totalmente compatibles con exclusiones basadas en certificados. SentinelOne, por ejemplo, no las honra para exclusiones de interoperabilidad. Si no está seguro de que su producto respete las reglas basadas en certificados, use exclusiones basadas en rutas en su lugar — son ampliamente compatibles y efectivas.
Información del editor:
Campo | Valor |
Editor | Level Software, Inc. |
Emisor | DigiCert, Inc. |
Serial |
|
SHA-1 |
|
SHA-256 |
|
Para verificar el certificado en el binario instalado (Windows):
Navegue a
C:\\Program Files\\Level.Haga clic derecho en
level.exey seleccione Propiedades.Haga clic en la pestaña Firmas Digitales.
Seleccione "Level Software, Inc." y haga clic en Detalles → Ver Certificado.
Confirme que la huella dactilar coincida con el valor SHA-256 anterior.
ℹ️ NOTA: Siempre verifique los detalles del certificado contra los valores extraídos directamente de su binario instalado. Los detalles pueden variar ligeramente entre versiones.
Exclusiones de Windows Defender
Si está ejecutando Windows Defender, use la automatización o el script a continuación para enviar exclusiones en todos sus dispositivos. Ambos se pueden importar directamente a Level.
Importar la automatización (recomendado para múltiples dispositivos): https://app.level.io/import/automation/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xNzM
Importar el script (para dispositivos individuales): https://app.level.io/import/script/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xOTU
Script PowerShell - Exclusión de Windows Defender (manual):
<#
Este recurso se proporciona como una comodidad para los usuarios de Level. No podemos
garantizar que funcione en todos los entornos. Por favor, pruebe antes de implementar
en su entorno de producción. Aceptamos contribuciones a nuestra biblioteca
comunitaria
Level Library
https://level.io/library
#>
# Definir rutas para excluir
$paths = @(
\"C:\\Program Files\\Level\\level.exe\",
\"C:\\Program Files\\Level\\level.update\",
\"C:\\Program Files\\Level\\winpty-agent.exe\",
\"C:\\Program Files\\Level\\.level.exe.new\",
\"C:\\Program Files\\Level\\.level.exe.old\"
)
# Agregar rutas de archivos temporales
$tempInstallPath = Join-Path ([System.IO.Path]::GetTempPath()) \"install_level.exe\"
$tempWindowsAmd64Path = Join-Path ([System.IO.Path]::GetTempPath()) \"level-windows-amd64.exe\"
$paths += $tempInstallPath
$paths += $tempWindowsAmd64Path
# Agregar exclusiones de ruta
foreach ($path in $paths) {
Add-MpPreference -ExclusionPath $path -ErrorAction SilentlyContinue
}
# Agregar exclusión de nombre de proceso
Add-MpPreference -ExclusionProcess \"level.exe\" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess \"level.msi\" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess \"install_level.exe\" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess \"level-windows-amd64.exe\" -ErrorAction SilentlyContinue
# Mostrar confirmación
Write-Output \"Rutas de Exclusión Actuales:\"
(Get-MpPreference).ExclusionPath
Write-Output \"`nProcesos de Exclusión Actuales:\"
(Get-MpPreference).ExclusionProcess
⚠️ ADVERTENCIA: Si un dispositivo ya está sin conexión porque el agente fue puesto en cuarentena o eliminado, no puede insertar este script a través de Level. Necesitará acceso local o fuera de banda para agregar exclusiones primero. Ver Si los dispositivos ya están sin conexión a continuación.
Si los Dispositivos Ya Están Sin Conexión
Cuando AV/EDR bloquea Level sin generar una alerta, el dispositivo se desconecta sin indicación obvia. Signos de que esta es la causa:
El dispositivo está en línea y es accesible por otras herramientas, pero sin conexión en Level
Solo algunos dispositivos se ven afectados, aunque el mismo AV/EDR se implemente en todas partes (esto es normal — la detección basada en comportamiento es inconsistente por naturaleza)
Las automatizaciones fallan o se agotan en dispositivos que de otro modo se ven saludables
El binario
level.exefalta enC:\\Program Files\\Level\\— Level no tiene mecanismo para eliminar su propio binario, por lo que la ausencia significa que AV/EDR lo eliminó o puso en cuarentena
Para resolver: obtenga acceso fuera de banda al dispositivo, agregue las exclusiones usando la consola de administración de su software de seguridad o el script de PowerShell anterior, luego verifique que el binario esté presente. Si fue eliminado, reinstale el agente después de agregar las exclusiones.
⚠️ ADVERTENCIA: No reinstale el agente antes de agregar exclusiones. AV/EDR eliminará el binario nuevamente inmediatamente.
Preguntas Frecuentes
Agregué exclusiones pero el dispositivo sigue sin conexión. ¿Y ahora qué? Las exclusiones evitan interferencias futuras pero no deshacen lo que ya sucedió. Verifique si el binario
level.exeaún está presente enC:\\Program Files\\Level\\— si fue eliminado por AV/EDR, deberá reinstalar el agente. Ejecute--checkdespués de reinstalar para confirmar que la conectividad se ha restaurado. Ver Offline Troubleshooting.Todos mis dispositivos tienen el mismo AV/EDR. ¿Por qué Level solo está sin conexión en algunos de ellos? Detección basada en comportamiento. Su software de seguridad no está comparando Level contra una firma conocida como mala — está observando lo que hacen los procesos en tiempo de ejecución y bloqueando según patrones de comportamiento. Si se activa una detección depende de lo que el agente estaba haciendo en ese momento cuando se ejecutó la heurística. Es común ver solo 1–3 dispositivos afectados de una flota mucho más grande con la configuración de AV/EDR idéntica.
Mi EDR no muestra detecciones ni eventos de cuarentena, pero Level se comporta de manera extraña. Eso es consistente con interferencia basada en comportamiento. Algunos productos bloquean o aceleran operaciones específicas sin generar un evento de detección — sin alerta, sin registro de cuarentena, nada. AV/EDR puede matar websockets, bloquear llamadas de red, causar tiempos de espera de WMI o evitar que el agente genere procesos secundarios, todo sin tocar el binario. Agregue exclusiones y controle si los problemas se resuelven.
¿Debo usar exclusiones basadas en rutas o basadas en certificados? Basado en certificados es teóricamente más seguro y menos mantenimiento, pero no todos los productos las honran completamente. SentinelOne, por ejemplo, no es compatible con exclusiones basadas en certificados para exclusiones de interoperabilidad — la opción existe pero no tendrá el efecto deseado. Si no está seguro de que su AV/EDR respete completamente las exclusiones basadas en certificados, comience con las basadas en rutas. Basadas en rutas son ampliamente compatibles con todos los productos y es el estándar más seguro. Evite basadas en hash — Level envía actualizaciones semanales y el hash cambia con cada lanzamiento.
¿A quién debo contactar si mi proveedor de EDR sigue marcando Level? Comuníquese con el Soporte de Level. El equipo trabaja directamente con proveedores de seguridad en problemas de clasificación.