Wir sind da ein gebranntes Kind, es hat mal ein externer Dienstleister das Netzkabel eines Druckers in sein Notebook gesteckt und damit einen Virus in unser Netz übertragen,

Nur durch den Anschluss? Das bezweifle ich. Ich nehme an, der Anschluss und die erfolgreiche Aufnahme ins Netz (TCP/IP) war nur der erste Schritt und es wurde sodann von einer Freigabe dieses Notebooks über irgendein Anwendungsprotokoll (cifs/http[s]) mindestens eine Datei abgeholt.

Mac-Based-Authentication ... Leider gibt es immer mehr Geräte, wo das so nicht mehr funktioniert.

Ja. Manche Geräte haben eine fixe (aber änderbare) MAC-Adresse und manche wechseln diese (aus Gründen des Datenschutzes) bei jeder neuen Verbindung. Ich muss mich aber mit Windows-Zeug nicht soweit auskennen, dass ich wüsste, ob das Surface-Zeug auch bei LAN-Verbindungen via USB die Mac-Adresse zufällig auswählt.

Wir sind da ein gebranntes Kind, es hat mal ein externer Dienstleister das Netzkabel eines Druckers in sein Notebook gesteckt

Auch sowas muss bedacht werden. Wenn Ihr das Netz vermeintlich „dicht“ macht und dann ein Dienstleister kommt, für dessen Arbeit es notwendig ist, dass er ein Gerät ins Netz bringt, dann wird er - so oder so - ein Loch in Eure Brandmauer bohren.

Ich selbst erlebe es immer wieder, dass ich bei Schulungen / Trainings / Seminaren / Kursen Netze vorfinde, die per se erstmal die Schulung unmöglich machen, z.B. eine Verbindung der Teilnehmerrechner zu meinem Rechner verbieten… Es erfordert manchmal viel Grips und ein „längst nicht jedem gefallendes Vorgehen“ um dann den Teilnehmern z.B. Dateien zur Verfügung zu stellen. Und manchmal halt nur einen USB-Stick.

Da wir gerade dabei sind: IPv6 habt ihr im Griff oder gibt es da ein nicht gemanagtes Schattennetz?