Introduction
Les outils AV et EDR signalent régulièrement les agents RMM comme des Applications Potentiellement Indésirables (PUA). Il s'agit d'un comportement attendu — un RMM dispose de privilèges système importants, et les éditeurs de solutions de sécurité ont raison de traiter avec suspicion les outils d'accès à distance inconnus. Puisque vous avez déployé Level intentionnellement, la solution consiste à ajouter des exclusions afin que votre pile de sécurité l'autorise à s'exécuter.
Pourquoi cela se produit
Les EDR ont commencé à classer les RMM comme des Programmes Potentiellement Indésirables (PUP) par défaut. C'est une posture de sécurité raisonnable — les RMM fournissent un accès système approfondi, notamment le contrôle à distance, la gestion en arrière-plan, l'exécution arbitraire de scripts, et bien plus encore. Tout RMM non autorisé fonctionnant sur votre réseau devrait être signalé immédiatement.
La position de Level : les EDR devraient bloquer les RMM non approuvés. Si vous avez choisi d'utiliser Level, créer une exception dans votre logiciel de sécurité est la réponse appropriée.
Pour une discussion plus approfondie à ce sujet, voir : EDRs Distrust RMMs, and That's OK
Comment les AV/EDR interfèrent concrètement avec Level
Il est important de bien comprendre cela, car les interférences des AV/EDR ne sont pas toujours évidentes. La plupart des gens s'attendent à un événement de mise en quarantaine ou à une alerte — mais la détection comportementale n'en produit souvent aucune des deux.
La détection comportementale n'est pas basée sur des signatures. Les produits AV/EDR ne se contentent pas d'analyser les fichiers ; ils surveillent ce que font les processus à l'exécution. Si le comportement de l'agent à un moment précis déclenche une heuristique — un schéma d'appel réseau, une requête WMI, un lancement de processus enfant — le logiciel de sécurité peut bloquer ou interrompre cette action sans mettre quoi que ce soit en quarantaine. Aucune alerte, aucune entrée de journal, aucune suppression de binaire.
C'est pourquoi vous pouvez avoir 50 appareils exécutant le même AV/EDR et que seulement 2 affichent Level comme hors ligne. Il ne s'agit pas d'un comportement incohérent de votre logiciel de sécurité — c'est que la détection s'est déclenchée sur ces 2 appareils en fonction de ce que l'agent faisait à ce moment-là.
Les AV/EDR peuvent affecter Level de manières allant au-delà de la simple suppression du binaire :
Arrêter le processus de l'agent brutalement (l'appareil passe hors ligne)
Bloquer des connexions sortantes spécifiques (les vérifications de connectivité échouent, la connexion websocket est interrompue)
Interférer avec les appels WMI (les automatisations expirent ou échouent en cours d'exécution)
Limiter ou suspendre le processus (l'appareil semble en ligne mais les sessions à distance ne se connectent pas)
Empêcher l'agent de lancer des processus enfants (les scripts ne s'exécutent pas)
Si quelque chose se comporte étrangement dans Level — pas seulement des appareils hors ligne, mais des échecs d'automatisation intermittents, des scripts qui se bloquent, des sessions à distance qui ne s'établissent pas — les interférences AV/EDR en sont une cause probable, même si votre logiciel de sécurité ne signale rien.
Chemins d'exclusion
Ajoutez ces chemins à la liste d'exclusions ou de confiance de votre logiciel de sécurité :
🖥️ NOTE DE PLATEFORME :
Windows :
C:\Program Files\Level\level.exe
C:\Program Files\Level\level.update
C:\Program Files\Level\winpty-agent.exe
C:\Program Files\Level\.level.exe.new
C:\Program Files\Level\.level.exe.old
macOS :
/Applications/Level.app/Contents/MacOS/level
Linux :
/usr/local/bin/level
💡 CONSEIL : Utilisez des exclusions basées sur le chemin pour les exécutables spécifiques, et non pour l'ensemble du Level dossier. L'exclusion du dossier couvrirait également tout ce qu'un attaquant pourrait y déposer.
Exclusions basées sur les certificats
Les exclusions basées sur les certificats sont plus robustes que celles basées sur le chemin. Level publie des mises à jour d'agent hebdomadaires — les exclusions basées sur le hachage sont invalidées à chaque version, et les exclusions basées sur le chemin ne vérifient pas l'authenticité du binaire. Les exclusions par certificat survivent automatiquement aux mises à jour et n'autorisent l'exécution que des binaires Level correctement signés.
ℹ️ REMARQUE : Tous les produits AV/EDR ne prennent pas entièrement en charge les exclusions basées sur les certificats. SentinelOne, par exemple, ne les respecte pas pour les exclusions d'interopérabilité. Si vous n'êtes pas certain que votre produit respecte les règles basées sur les certificats, utilisez plutôt des exclusions basées sur le chemin — elles sont largement prises en charge et efficaces.
Informations sur l'éditeur :
Champ | Valeur |
Éditeur | Level Software, Inc. |
Émetteur | DigiCert, Inc. |
Numéro de série |
|
SHA-1 |
|
SHA-256 |
|
Pour vérifier le certificat sur le binaire installé (Windows) :
Accédez à
C:\Program Files\Level.Faites un clic droit sur
level.exeet sélectionnez Propriétés.Cliquez sur l'onglet Signatures numériques onglet.
Sélectionnez «Level Software, Inc.» et cliquez sur Détails → Afficher le certificat.
Confirmez que l'empreinte correspond à la valeur SHA-256 ci-dessus.
ℹ️ REMARQUE : Vérifiez toujours les détails du certificat par rapport aux valeurs extraites directement de votre binaire installé. Les détails peuvent varier légèrement selon les versions.
Exclusions Windows Defender
Si vous utilisez Windows Defender, utilisez l'automatisation ou le script ci-dessous pour diffuser les exclusions sur vos appareils. Les deux sont directement importables dans Level.
Importer l'automatisation (recommandé pour plusieurs appareils) : https://app.level.io/import/automation/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xNzM
Importer le script (pour les appareils individuels) : https://app.level.io/import/script/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xOTU
Script PowerShell - Exclusion Windows Defender (manuel) :
<#
This resource is provided as a convenience for Level users. We cannot
guarantee it will work in all environments. Please test before deploying
to your production environment. We welcome contributions to our community
library
Level Library
https://level.io/library
#>
# Define paths to exclude
$paths = @(
"C:\Program Files\Level\level.exe",
"C:\Program Files\Level\level.update",
"C:\Program Files\Level\winpty-agent.exe",
"C:\Program Files\Level\.level.exe.new",
"C:\Program Files\Level\.level.exe.old"
)
# Add temporary file paths
$tempInstallPath = Join-Path ([System.IO.Path]::GetTempPath()) "install_level.exe"
$tempWindowsAmd64Path = Join-Path ([System.IO.Path]::GetTempPath()) "level-windows-amd64.exe"
$paths += $tempInstallPath
$paths += $tempWindowsAmd64Path
# Add path exclusions
foreach ($path in $paths) {
Add-MpPreference -ExclusionPath $path -ErrorAction SilentlyContinue
}
# Add process name exclusion
Add-MpPreference -ExclusionProcess "level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level.msi" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "install_level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level-windows-amd64.exe" -ErrorAction SilentlyContinue
# Display confirmation
Write-Output "Current Exclusion Paths:"
(Get-MpPreference).ExclusionPath
Write-Output "`nCurrent Exclusion Processes:"
(Get-MpPreference).ExclusionProcess
⚠️ AVERTISSEMENT : Si un appareil est déjà hors ligne parce que l'agent a été mis en quarantaine ou supprimé, vous ne pouvez pas envoyer ce script via Level. Vous devrez disposer d'un accès local ou hors bande pour ajouter les exclusions en premier. Voir Si des appareils sont déjà hors ligne ci-dessous.
Si des appareils sont déjà hors ligne
Lorsque l'AV/EDR bloque Level sans générer d'alerte, l'appareil devient inaccessible sans indication évidente. Signes indiquant que c'en est la cause :
L'appareil est en ligne et accessible par d'autres outils, mais hors ligne dans Level
Seuls certains appareils sont affectés, même si le même AV/EDR est déployé partout (c'est normal — la détection comportementale est incohérente par nature)
Les automatisations échouent ou expirent sur des appareils qui semblent par ailleurs en bonne santé
Le
level.exele binaire est manquant dansC:\Program Files\Level\— Level ne dispose d'aucun mécanisme pour supprimer son propre binaire, donc l'absence signifie que l'AV/EDR l'a supprimé ou mis en quarantaine
Pour résoudre le problème : obtenez un accès hors bande à l'appareil, ajoutez les exclusions via la console de gestion de votre logiciel de sécurité ou le script PowerShell ci-dessus, puis vérifiez que le binaire est présent. S'il a été supprimé, réinstallez l'agent après avoir ajouté les exclusions.
⚠️ AVERTISSEMENT : Ne réinstallez pas l'agent avant d'avoir ajouté les exclusions. L'AV/EDR supprimera à nouveau le binaire immédiatement.
FAQ
J'ai ajouté des exclusions mais l'appareil est toujours hors ligne. Que faire maintenant ? Les exclusions empêchent les interférences futures mais n'annulent pas ce qui s'est déjà produit. Vérifiez si le
level.exele binaire est toujours présent dansC:\Program Files\Level\— s'il a été supprimé par l'AV/EDR, vous devrez réinstaller l'agent. Exécutez--checkaprès la réinstallation pour confirmer que la connectivité est rétablie. Voir Dépannage hors ligne.Tous mes appareils ont le même AV/EDR. Pourquoi Level est-il hors ligne uniquement sur quelques-uns d'entre eux ? Détection comportementale. Votre logiciel de sécurité ne compare pas Level à une signature connue comme malveillante — il surveille ce que font les processus à l'exécution et bloque en fonction des schémas de comportement. Le déclenchement d'une détection dépend de ce que l'agent faisait au moment où l'heuristique s'est exécutée. Il est courant de ne voir que 1 à 3 appareils affectés sur une flotte bien plus grande ayant une configuration AV/EDR identique.
Mon EDR ne signale aucune détection ni aucun événement de quarantaine, mais Level se comporte de manière étrange. C'est cohérent avec une interférence basée sur les comportements. Certains produits bloquent ou limitent des opérations spécifiques sans générer d'événement de détection — aucune alerte, aucun journal de quarantaine, rien. Les solutions AV/EDR peuvent interrompre les websockets, bloquer les appels réseau, provoquer des délais d'expiration WMI ou empêcher l'agent de lancer des processus enfants, le tout sans toucher au binaire. Ajoutez des exclusions et surveillez si les problèmes se résolvent.
Dois-je utiliser des exclusions basées sur les chemins ou sur les certificats ? Les exclusions basées sur les certificats sont en théorie plus sécurisées et moins contraignantes à maintenir, mais tous les produits ne les respectent pas pleinement. SentinelOne, par exemple, ne prend pas en charge les exclusions basées sur les certificats pour les exclusions d'interopérabilité — l'option existe mais n'aura pas l'effet escompté. Si vous n'êtes pas certain que votre AV/EDR respecte pleinement les exclusions basées sur les certificats, commencez par les exclusions basées sur les chemins. Celles-ci sont largement prises en charge par tous les produits et constituent la valeur par défaut la plus sûre. Évitez les exclusions basées sur le hachage — Level publie des mises à jour hebdomadaires et le hachage change à chaque version.
Qui dois-je contacter si mon fournisseur EDR continue de signaler Level ? Contactez le support Level. L'équipe travaille directement avec les éditeurs de solutions de sécurité sur les problèmes de classification.