Для параноиков или людей, серьёзно относящихся к безопасности в рамках организации, одним из первых порывов при настройке клиентских операционных систем является отключение возможности подключения внешних носителей информации вроде USB-дисков. На сайте АНБ (да, это именно USA National Security Agency, Central Security Service) я обнаружил рекомендацию, как это реализовать. Нужно удалить два kext’а - один для USB, второй - для Firewire:

$ sudo rm -Rf /System/Library/Extensions/IOUSBMassStorageClass.kext/
$ sudo rm -Rf /System/Library/Extensions/IOFireWireSerialBusProtocolTransport.kext/

У пользователей не должно быть прав администратора, иначе они запросто восстановят kext’ы (ладно, обычный пользователь вряд ли восстановит, но более-менее искушённый это сделает без проблем).

Но не забывайте, что при обновлении операционной системы файлы скорее всего появятся, и их нужно удалять регулярно. Вариант - создание стартовых скриптов, проводящих эту операцию при перезагрузке. Ещё один - создание каталогов с особыми правами с такими же именами (не пробовал).

А более правильный вариант - это развёртывание в сети централизованной системы аутентификации и авторизации OpenLDAP на Mac OS X Server. В этом случае в профиле пользователя в Mobility Management можно очень просто запретить использование не только съёмных USB-носителей, но и CD/DVD/etc. Исследование того, как именно это происходит, это тема для отдельной статьи, я пока ответить не могу. Но хочу :-)