En entornos corporativos, el uso de dispositivos de almacenamiento externo como unidades USB, discos duros externos, CDs o DVDs representa un riesgo significativo para la seguridad de la información y el cumplimiento normativo. macOS proporciona mecanismos nativos para restringir estos dispositivos a través de perfiles de configuración, permitiendo a las organizaciones aplicar políticas estrictas de control de medios sin instalar agentes adicionales ni depender de scripts de monitoreo.
Este enfoque se basa en un perfil de configuración .mobileconfig que aplica restricciones al comportamiento del sistema macOS — específicamente a través del componente SystemUIServer — controlando cómo el sistema operativo reacciona cuando se conecta un medio de almacenamiento externo.
Cuando se aplica, el perfil puede detectar la inserción de medios externos, evitar que se monten, expulsarlos automáticamente y mostrar una notificación del sistema informando al usuario de que el dispositivo está bloqueado. Otros periféricos, como teclados, ratones o cables de carga, no se ven afectados, siempre que macOS no los reconozca como dispositivos de almacenamiento.
Tipos de medios bloqueados
Con esta configuración, macOS puede restringir múltiples tipos de almacenamiento extraíble, incluyendo discos duros USB externos, memorias USB, CDs y DVDs, medios ópticos y otros dispositivos de almacenamiento masivo reconocidos por el sistema. Cuando se conecta uno de estos dispositivos, macOS lo expulsa automáticamente y evita que se monte, haciéndolo inaccesible para el usuario.
Configuración
Una vez en el panel de Applivery, dirígete a cualquiera de tus Políticas o crea una nueva.
En el menú lateral izquierdo, navega a la opción + Añadir configuración y elige Gestión de medios: Medios permitidos.
Este payload está estructurado en tres secciones distintas, cada una aplicada en un momento diferente del ciclo de vida del dispositivo y con un propósito de seguridad específico.
Logout eject: control del dispositivo al cerrar sesión
Esta sección define qué dispositivos de almacenamiento se expulsan automáticamente cuando un usuario cierra sesión en macOS. No bloquea el uso del dispositivo durante una sesión activa, pero garantiza que no quede ningún almacenamiento externo montado una vez que termina la sesión del usuario.
Esto es especialmente útil en dispositivos compartidos, evitando que las unidades externas sean accedidas por usuarios posteriores y reforzando la seguridad sin afectar los flujos de trabajo cotidianos.
Mount controls: control del montaje del dispositivo
Esta es la sección más crítica del payload, ya que determina si un dispositivo de almacenamiento puede montarse cuando se conecta. macOS evalúa estas reglas inmediatamente al insertar el dispositivo. Los administradores pueden bloquear completamente el acceso, permitir el acceso de solo lectura o permitir el uso completo según los requisitos de la organización.
Los controles de montaje se usan habitualmente para bloquear las unidades USB para evitar la exfiltración de datos, permitir los medios ópticos en modo de solo lectura o controlar estrictamente los dispositivos de almacenamiento no corporativos. Si un tipo de dispositivo está bloqueado aquí, no puede usarse bajo ninguna circunstancia, independientemente de cualquier otra sección de configuración.
Unmount controls: control de la expulsión manual del dispositivo
Esta sección regula si un usuario puede expulsar manualmente un dispositivo que ya está montado. No afecta la conexión inicial ni el montaje del dispositivo.
Los casos de uso típicos incluyen evitar la desconexión accidental de unidades de red críticas o proteger entornos corporativos específicos donde la expulsión manual podría causar problemas operativos.
Resumen funcional
| Sección | Se aplica cuando | Función principal |
|---|---|---|
| Logout eject | Cierre de sesión del usuario | Expulsión automática del dispositivo |
| Mount controls | Conexión del dispositivo | Permitir o bloquear el montaje |
| Unmount controls | Expulsión manual | Permitir o bloquear la desmontaje del dispositivo |
Acciones disponibles
Dentro de las secciones de logout eject, mount controls y unmount controls, los administradores pueden definir cómo reacciona macOS a cada tipo de medio:
La acción Authenticate permite el uso del dispositivo solo después de que el usuario se autentique correctamente con sus credenciales macOS. Esta opción es adecuada cuando el acceso debe restringirse a usuarios autorizados sin bloquear completamente el dispositivo.
La acción Read-only permite el acceso a los archivos mientras evita que se escriban datos en el dispositivo. Los usuarios pueden ver y copiar archivos del dispositivo al Mac, pero no pueden modificar archivos ni copiar datos corporativos al almacenamiento externo, lo que hace que esta opción sea ideal para evitar la fuga de datos.
La acción Deny bloquea completamente el dispositivo, evitando que se monte o acceda de cualquier manera. En este caso, el dispositivo puede aparecer brevemente y luego desaparecer, o no aparecer en absoluto. Si un tipo de medio está configurado como Deny en mount controls, ninguna otra configuración anulará este comportamiento.
La acción Eject permite el uso normal durante la sesión activa pero expulsa automáticamente el dispositivo cuando se produce el evento configurado, como el cierre de sesión del usuario. Esta opción se usa habitualmente en Macs compartidos para garantizar que los dispositivos externos no queden montados.
| Acción | Acceso permitido | Escritura permitida | Auth requerida | Uso típico |
|---|---|---|---|---|
| Authenticate | ✅ | ✅ | ✅ | Control basado en usuario |
| Read-only | ✅ | ❌ | ❌ | Evitar la exfiltración de datos |
| Deny | ❌ | ❌ | ❌ | Bloqueo total |
| Eject | ✅ (temporal) | ✅ | ❌ | Limpieza al cerrar sesión |
Recomendación general
En la mayoría de los entornos corporativos gestionados con Applivery, las políticas de control de medios suelen basarse en los mount controls como mecanismo de aplicación principal, complementado por el logout eject como salvaguarda adicional. Los unmount controls generalmente se reservan para escenarios muy específicos.
Combinar estas secciones de forma apropiada permite a las organizaciones implementar controles de seguridad sólidos sin impactar innecesariamente en la productividad de los usuarios.
Comportamiento al eliminar la restricción
Si el perfil de configuración se elimina del dispositivo, se requiere reiniciar el sistema para que se levanten completamente todas las restricciones. Hasta que se produzca el reinicio, macOS puede seguir aplicando el bloqueo de medios. Este comportamiento es inherente al sistema operativo y debe tenerse en cuenta durante la resolución de problemas o los cambios de política.
Recuerda reiniciar el dispositivo macOS después de eliminar el perfil de configuración para levantar completamente las restricciones.
Al distribuir perfiles de configuración a través de Applivery, las organizaciones pueden bloquear de forma nativa y eficaz los dispositivos de almacenamiento externo en macOS de manera centralizada, escalable y no intrusiva. Este enfoque mejora la seguridad de los datos, se integra perfectamente con macOS y proporciona a los equipos TI un control preciso sobre el uso de medios extraíbles, manteniendo a la vez una experiencia de usuario equilibrada.