Les outils AV et EDR signalent régulièrement les agents RMM comme des applications potentiellement indésirables (PUA). C'est un comportement attendu — un RMM dispose de privilèges système importants, et les éditeurs de sécurité ont raison de traiter les outils d'accès à distance inconnus avec suspicion. Puisque vous avez déployé Level intentionnellement, la solution consiste à ajouter des exclusions afin que votre stack de sécurité le permette d'exécuter.
Pourquoi cela se produit
Les EDR ont commencé à classer les RMM comme des programmes potentiellement indésirables (PUP) par défaut. C'est une position de sécurité raisonnable — les RMM offrent un accès profond au système, y compris le contrôle à distance, la gestion en arrière-plan, l'exécution de scripts arbitraires, etc. Tout RMM non autorisé s'exécutant sur votre réseau doit être signalé immédiatement.
Position de Level : les EDR doivent bloquer les RMM non approuvés. Si vous avez choisi d'utiliser Level, créer une exception dans votre logiciel de sécurité est la réponse appropriée.
Pour une discussion plus approfondie, consultez : Les EDR se méfient des RMM, et c'est normal
Comment AV/EDR interfère réellement avec Level
C'est important à comprendre, car l'interférence AV/EDR n'est pas toujours évidente. La plupart des gens s'attendent à un événement de quarantaine ou une alerte — mais la détection basée sur le comportement ne produit souvent ni l'un ni l'autre.
La détection basée sur le comportement n'est pas basée sur la signature. Les produits AV/EDR ne font pas que scanner les fichiers ; ils observent ce que les processus font lors de l'exécution. Si le comportement de l'agent à un moment particulier déclenche une heuristique — un motif d'appel réseau, une requête WMI, un processus spawn — le logiciel de sécurité peut bloquer ou arrêter cette action sans mettre en quarantaine quoi que ce soit. Pas d'alerte, pas d'entrée de journal, pas de suppression binaire.
C'est pourquoi vous pouvez avoir 50 appareils exécutant le même AV/EDR et seulement 2 montrant Level comme étant hors ligne. Ce n'est pas un comportement incohérent de votre logiciel de sécurité — c'est que la détection s'est déclenchée sur ces 2 appareils en fonction de ce que l'agent faisait au moment.
AV/EDR peut affecter Level de bien d'autres façons que simplement supprimer le binaire :
Arrêter le processus d'agent purement et simplement (l'appareil se met hors ligne)
Bloquer les connexions sortantes spécifiques (les vérifications de connectivité échouent, websocket se déconnecte)
Interférer avec les appels WMI (les automations expirent ou échouent à mi-parcours)
Limiter ou suspendre le processus (l'appareil apparaît en ligne mais les sessions distantes ne se connectent pas)
Bloquer l'agent de générer des processus enfants (les scripts ne s'exécutent pas)
Si quelque chose dans Level se comporte bizarrement — non seulement les appareils hors ligne, mais les défaillances d'automation intermittentes, les scripts qui se figent, les sessions distantes qui ne s'établissent pas — l'interférence AV/EDR est une cause probable même si votre logiciel de sécurité ne montre rien.
Chemins d'exclusion
Ajoutez ces chemins à la liste d'exclusion ou de confiance de votre logiciel de sécurité :
🖥️ NOTE PLATEFORME :
Windows :
C:\Program Files\Level\level.exe
C:\Program Files\Level\level.update
C:\Program Files\Level\winpty-agent.exe
C:\Program Files\Level\.level.exe.new
C:\Program Files\Level\.level.exe.old
macOS :
/Applications/Level.app/Contents/MacOS/level
Linux :
/usr/local/bin/level
💡 CONSEIL : Utilisez les exclusions basées sur le chemin sur les exécutables spécifiques, pas sur l'intégralité du dossier Level. Exclure le dossier couvrirait également tout ce qu'un attaquant pourrait y déposer.
Exclusions basées sur le certificat
Les exclusions basées sur le certificat sont plus robustes que celles basées sur le chemin. Level envoie des mises à jour d'agent chaque semaine — les exclusions basées sur le hash se cassent avec chaque version, et les exclusions basées sur le chemin ne vérifient pas l'authenticité du binaire. Les exclusions de certificat survivent automatiquement aux mises à jour et ne permettent que l'exécution de binaires Level correctement signés.
ℹ️ REMARQUE : Tous les produits AV/EDR ne prennent pas entièrement en charge les exclusions basées sur le certificat. SentinelOne, par exemple, ne les honore pas pour les exclusions d'interopérabilité. Si vous n'êtes pas certain que votre produit respecte les règles basées sur les certificats, utilisez plutôt des exclusions basées sur le chemin — elles sont largement prises en charge et efficaces.
Informations de l'éditeur :
Champ | Valeur |
Éditeur | Level Software, Inc. |
Émetteur | DigiCert, Inc. |
Numéro de série |
|
SHA-1 |
|
SHA-256 |
|
Pour vérifier le certificat sur le binaire installé (Windows) :
Accédez à
C:\Program Files\Level.Cliquez avec le bouton droit sur
level.exeet sélectionnez Propriétés.Cliquez sur l'onglet Signatures numériques.
Sélectionnez « Level Software, Inc. » et cliquez sur Détails → Afficher le certificat.
Confirmez que l'empreinte correspond à la valeur SHA-256 ci-dessus.
ℹ️ REMARQUE : Toujours vérifier les détails du certificat par rapport aux valeurs extraites directement de votre binaire installé. Les détails peuvent varier légèrement selon les versions.
Exclusions Windows Defender
Si vous utilisez Windows Defender, utilisez l'automation ou le script ci-dessous pour pousser les exclusions sur vos appareils. Les deux sont importables directement dans Level.
Importez l'automation (recommandé pour plusieurs appareils) : https://app.level.io/import/automation/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xNzM
Importez le script (pour les appareils individuels) : https://app.level.io/import/script/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xOTU
Script PowerShell - Exclusion Windows Defender (manuel) :
<#
Cette ressource est fournie à titre pratique pour les utilisateurs de Level. Nous ne pouvons
pas garantir qu'elle fonctionnera dans tous les environnements. Veuillez tester avant de
déployer dans votre environnement de production. Nous accueillons les contributions à notre
bibliothèque communautaire
Bibliothèque Level
https://level.io/library
#>
# Définir les chemins à exclure
$paths = @(
"C:\Program Files\Level\level.exe",
"C:\Program Files\Level\level.update",
"C:\Program Files\Level\winpty-agent.exe",
"C:\Program Files\Level\.level.exe.new",
"C:\Program Files\Level\.level.exe.old"
)
# Ajouter les chemins des fichiers temporaires
$tempInstallPath = Join-Path ([System.IO.Path]::GetTempPath()) "install_level.exe"
$tempWindowsAmd64Path = Join-Path ([System.IO.Path]::GetTempPath()) "level-windows-amd64.exe"
$paths += $tempInstallPath
$paths += $tempWindowsAmd64Path
# Ajouter des exclusions de chemin
foreach ($path in $paths) {
Add-MpPreference -ExclusionPath $path -ErrorAction SilentlyContinue
}
# Ajouter l'exclusion du nom du processus
Add-MpPreference -ExclusionProcess "level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level.msi" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "install_level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level-windows-amd64.exe" -ErrorAction SilentlyContinue
# Afficher la confirmation
Write-Output "Chemins d'exclusion actuels :"
(Get-MpPreference).ExclusionPath
Write-Output "`nProcessus d'exclusion actuels :"
(Get-MpPreference).ExclusionProcess
⚠️ AVERTISSEMENT : Si un appareil est déjà hors ligne parce que l'agent a été mis en quarantaine ou supprimé, vous ne pouvez pas pousser ce script via Level. Vous aurez besoin d'un accès local ou hors bande pour ajouter d'abord les exclusions. Consultez Si les appareils sont déjà hors ligne ci-dessous.
Si les appareils sont déjà hors ligne
Quand AV/EDR bloque Level sans générer d'alerte, l'appareil s'éteint sans indication évidente. Les signes que c'est la cause :
L'appareil est en ligne et accessible par d'autres outils, mais hors ligne dans Level
Seuls certains appareils sont affectés, même si le même AV/EDR est déployé partout (c'est normal — la détection basée sur le comportement est incohérente par nature)
Les automations échouent ou expirent sur les appareils qui semblent autrement sains
Le binaire
level.exeest absent deC:\Program Files\Level\— Level n'a aucun mécanisme pour supprimer son propre binaire, donc l'absence signifie que AV/EDR l'a supprimé ou mis en quarantaine
Pour résoudre : accédez à distance à l'appareil, ajoutez les exclusions à l'aide de la console de gestion de votre logiciel de sécurité ou du script PowerShell ci-dessus, puis vérifiez que le binaire est présent. S'il a été supprimé, réinstallez l'agent après avoir ajouté les exclusions.
⚠️ AVERTISSEMENT : Ne réinstallez pas l'agent avant d'ajouter les exclusions. AV/EDR supprimera à nouveau le binaire immédiatement.
FAQ
J'ai ajouté les exclusions mais l'appareil est toujours hors ligne. Et maintenant ? Les exclusions empêchent les interférences futures mais n'annulent pas ce qui s'est déjà produit. Vérifiez si le binaire
level.exeest toujours présent dansC:\Program Files\Level\— s'il a été supprimé par AV/EDR, vous devrez réinstaller l'agent. Exécutez--checkaprès réinstallation pour confirmer que la connectivité est rétablie. Consultez Dépannage hors ligne.Tous mes appareils ont le même AV/EDR. Pourquoi Level est-il hors ligne sur seulement quelques-uns d'entre eux ? Détection basée sur le comportement. Votre logiciel de sécurité ne met pas en correspondance Level par rapport à une signature connue et mauvaise — il observe ce que les processus font lors de l'exécution et bloque en fonction des motifs de comportement. Le fait qu'une détection se déclenche dépend de ce que l'agent faisait au moment où l'heuristique s'est exécutée. Il est courant de voir seulement 1–3 appareils affectés sur une flotte beaucoup plus grande avec une configuration AV/EDR identique.
Mon EDR ne montre pas de détections ou d'événements de quarantaine, mais Level se comporte bizarrement. C'est cohérent avec l'interférence basée sur le comportement. Certains produits bloquent ou limitent des opérations spécifiques sans générer un événement de détection — pas d'alerte, pas de journal de quarantaine, rien. AV/EDR peut tuer les websockets, bloquer les appels réseau, causer des expirations de WMI ou empêcher l'agent de générer des processus enfants, tout sans toucher au binaire. Ajoutez des exclusions et observez si les problèmes se résolvent.
Devrais-je utiliser des exclusions basées sur le chemin ou basées sur le certificat ? Le basé sur le certificat est théoriquement plus sûr et moins coûteux en maintenance, mais tous les produits ne les honorent pas entièrement. SentinelOne, par exemple, ne prend pas en charge les exclusions basées sur les certificats pour les exclusions d'interopérabilité — l'option existe mais n'aura pas l'effet prévu. Si vous n'êtes pas certain que votre AV/EDR respecte entièrement les exclusions basées sur les certificats, commencez par celle basée sur le chemin. La basée sur le chemin est largement prise en charge par tous les produits et est la valeur par défaut la plus sûre. Évitez la basée sur le hash — Level envoie des mises à jour hebdomadaires et le hash change à chaque version.
Qui contacter si mon fournisseur EDR continue à signaler Level ? Contactez le support de Level. L'équipe travaille directement avec les éditeurs de sécurité sur les problèmes de classification.