En entornos corporativos, el uso de dispositivos de almacenamiento externo como unidades USB, discos duros externos, CD o DVD representa un riesgo significativo para la seguridad de la información y el cumplimiento de las políticas internas. macOS ofrece mecanismos nativos para restringir estos dispositivos mediante perfiles de configuración, lo que permite aplicar controles estrictos sin necesidad de instalar agentes adicionales ni utilizar scripts de monitorización.
Esta solución se basa en un perfil de configuración .mobileconfig que aplica restricciones al comportamiento del sistema —específicamente sobre el componente SystemUIServer— y controla cómo responde macOS cuando se conecta un medio de almacenamiento externo.
Cuando el perfil está activo, el sistema puede detectar la inserción de medios externos, impedir que se monten, expulsarlos automáticamente y mostrar una notificación informando al usuario de que el dispositivo está bloqueado. Otros periféricos, como teclados, ratones o cables de carga, no se ven afectados siempre que no sean identificados por macOS como dispositivos de almacenamiento.
Tipos de medios bloqueados #
Mediante esta configuración, macOS puede restringir múltiples tipos de almacenamiento extraíble, incluidos discos duros externos USB, memorias USB, CD y DVD, medios ópticos y otros dispositivos de almacenamiento masivo reconocidos por el sistema. Cuando uno de estos dispositivos se conecta, macOS lo expulsa automáticamente e impide que se monte, haciéndolo inaccesible para el usuario.
Configuración #
Una vez en el panel de control de Applivery, dirígete a la sección Gestión de Dispositivos y selecciona Políticas (1). Selecciona la política en la que deseas aplicar este ajuste.
En el menú lateral izquierdo, haz clic en + Añadir configuración (2) y selecciona Gestión de Medios: Medios permitidos (3).
Este payload está estructurado en tres secciones diferenciadas, cada una aplicada en una fase distinta del ciclo de vida del dispositivo y con un propósito de seguridad específico.
Expulsar sesión: control de dispositivos al cerrar sesión #
Esta sección define qué dispositivos de almacenamiento se expulsan automáticamente cuando un usuario cierra sesión en macOS. No bloquea el uso del dispositivo durante la sesión activa, pero garantiza que ningún almacenamiento externo permanezca montado una vez finaliza la sesión.
Es especialmente útil en equipos compartidos, ya que evita que unidades externas queden accesibles para usuarios posteriores y refuerza la seguridad sin afectar a los flujos de trabajo diarios. Por ejemplo, los discos duros externos pueden configurarse para expulsarse automáticamente al cerrar sesión.
Controles de montaje: control del montaje de dispositivos #
Esta es la sección más crítica del payload, ya que determina si un dispositivo de almacenamiento puede montarse cuando se conecta. macOS evalúa estas reglas de forma inmediata en el momento de la inserción del dispositivo. Los administradores pueden bloquear completamente el acceso, permitir acceso solo en modo lectura o autorizar el uso completo del dispositivo, según las necesidades de la organización.
Los controles de montaje s se utilizan habitualmente para bloquear memorias USB y prevenir la exfiltración de datos, permitir medios ópticos en modo solo lectura o controlar de forma estricta dispositivos de almacenamiento no corporativos. Si un tipo de dispositivo se bloquea en esta sección, no podrá utilizarse bajo ninguna circunstancia, independientemente del resto de configuraciones definidas.
Controles de desmontaje: control de expulsión manual #
Esta sección controla si el usuario puede expulsar manualmente un dispositivo que ya está montado. No afecta a la conexión inicial ni al montaje del dispositivo.
Sus casos de uso más habituales incluyen la prevención de desconexiones accidentales de unidades de red críticas o la protección de entornos corporativos específicos en los que la expulsión manual podría generar problemas operativos.
Resumen funcional #
Sección
Aplicado cuando
Función principal
Expulsar sesión
El usuario cierra sesión
Expulsión automática de dispositivos
Controles de montaje
Conexión del dispositivo
Permitir o restringir el montaje
Controles de desmontaje
Ejecución manual
Permitir o restringir el desmontaje
Acciones disponibles #
Dentro de las secciones expulsar sesión, controles de montaje y controles de desmontaje, los administradores pueden definir cómo debe reaccionar macOS ante cada tipo de medio.
- La acción Autentifica permite el uso del dispositivo únicamente tras una autenticación correcta con las credenciales de macOS del usuario. Es adecuada cuando se desea restringir el acceso a usuarios autorizados sin bloquear completamente el dispositivo.
- La acción Sólo lectura permite acceder a los archivos del dispositivo, pero impide cualquier escritura. Los usuarios pueden ver y copiar archivos desde el dispositivo al Mac, pero no pueden modificar archivos ni copiar datos corporativos al almacenamiento externo, lo que la convierte en una opción ideal para prevenir fugas de información.
- La acción Denegar bloquea completamente el dispositivo, impidiendo su montaje y cualquier tipo de acceso. En este caso, el dispositivo puede aparecer brevemente y desaparecer, o no mostrarse en absoluto. Si un tipo de medio está configurado como Deny en Mount-controls, ninguna otra configuración podrá anular este comportamiento.
- La acción Expulsar permite el uso normal del dispositivo durante la sesión activa, pero lo expulsa automáticamente cuando se produce el evento configurado, como el cierre de sesión del usuario. Esta opción se utiliza habitualmente en Macs compartidos para evitar que dispositivos externos queden montados.
Acción
Acceso permitido
Escritura permitida
Autenticación requerida
Uso común
Autentifica
✅
✅
✅
Control basado en el usuario
Sólo lectura
✅
❌
❌
Evitar la fuga de datos
Denegar
❌
❌
❌
Bloqueo total
Expulsar
✅ (temporal)
✅
❌
Eliminación de datos al cerrar sesión
Recomendación general #
En la mayoría de los entornos corporativos gestionados con Applivery, las políticas de control de medios se basan principalmente en controles de montaje como mecanismo de aplicación principal, complementado por expulsar sesión como salvaguarda adicional. Los controles de desmontaje suelen reservarse para escenarios muy específicos.
La combinación adecuada de estas secciones permite a las organizaciones implementar controles de seguridad sólidos sin afectar innecesariamente a la productividad del usuario.
Comportamiento al eliminar restricciones #
Si el perfil de configuración se elimina del dispositivo, es necesario reiniciar el sistema para que todas las restricciones se desactiven por completo. Hasta que se realice el reinicio, macOS puede seguir aplicando el bloqueo de medios. Este comportamiento es inherente al sistema operativo y debe tenerse en cuenta durante tareas de soporte o cambios de política.
Mediante la distribución de perfiles de configuración a través de Applivery, las organizaciones pueden bloquear de forma nativa y eficaz el uso de dispositivos de almacenamiento externo en macOS de manera centralizada, escalable y no intrusiva. Este enfoque mejora la seguridad de los datos, se integra perfectamente con macOS y ofrece a los equipos de IT un control preciso sobre el uso de medios extraíbles, manteniendo una experiencia de usuario equilibrada.