Wir sind da ein gebranntes Kind, es hat mal ein externer Dienstleister das Netzkabel eines Druckers in sein Notebook gesteckt und damit einen Virus in unser Netz übertragen,

Nur durch den Anschluss? Das bezweifle ich. Ich nehme an, der Anschluss und die erfolgreiche Aufnahme ins Netz (TCP/IP) war nur der erste Schritt und es wurde sodann von einer Freigabe dieses Notebooks über irgendein Anwendungsprotokoll (cifs/http[s]) mindestens eine Datei abgeholt.

Tatsächlich nur durchs "im Netz sein". Ich meine der Wurm hieß "conficker", war so um 2008, also schon eine Weile her und hat sich durch ein Sicherheitsloch auf alle Windows-Systeme eingeschlichen. Damals hatten wir aber auch auf jedem PC und Server einen Admin-Zugang mit identischem Passwort.

Mac-Based-Authentication ... Leider gibt es immer mehr Geräte, wo das so nicht mehr funktioniert.

Ja. Manche Geräte haben eine fixe (aber änderbare) MAC-Adresse und manche wechseln diese (aus Gründen des Datenschutzes) bei jeder neuen Verbindung. Ich muss mich aber mit Windows-Zeug nicht soweit auskennen, dass ich wüsste, ob das Surface-Zeug auch bei LAN-Verbindungen via USB die Mac-Adresse zufällig auswählt.

Das mit dem automatischen Wechsel (bspw. iPhones) kann man auch ausschalten. Unsere eigenen Geräte verwenden immer eine feste Mac, über die der Port freigeschaltet wird und über die sie eine feste IP über DHCP zugewiesen bekommen.

Wir sind da ein gebranntes Kind, es hat mal ein externer Dienstleister das Netzkabel eines Druckers in sein Notebook gesteckt

Auch sowas muss bedacht werden. Wenn Ihr das Netz vermeintlich „dicht“ macht und dann ein Dienstleister kommt, für dessen Arbeit es notwendig ist, dass er ein Gerät ins Netz bringt, dann wird er - so oder so - ein Loch in Eure Brandmauer bohren.

Das steht leider außer Frage. Möglichkeiten gibt es immer. Auch die Mac-Adresse lässt sich recht leicht spoofen. Aber es ist ein erstes Hindernis.

Ich selbst erlebe es immer wieder, dass ich bei Schulungen / Trainings / Seminaren / Kursen Netze vorfinde, die per se erstmal die Schulung unmöglich machen, z.B. eine Verbindung der Teilnehmerrechner zu meinem Rechner verbieten… Es erfordert manchmal viel Grips und ein „längst nicht jedem gefallendes Vorgehen“ um dann den Teilnehmern z.B. Dateien zur Verfügung zu stellen. Und manchmal halt nur einen USB-Stick.

Bei uns müssen solche Termine vorher angekündigt sein, dann erhält der Trainer entsprechende Zugänge, zumeist über ein Gäste-WLAN oder -LAN. Zur Not dann mit weiter mit VPN.

Da wir gerade dabei sind: IPv6 habt ihr im Griff oder gibt es da ein nicht gemanagtes Schattennetz?

IPv6 ist bei uns aktuell komplett abgeschaltet. Verursachte vorher auch die aberwitzigsten ungewollten Phänomene, z.B. Ping auf Domain findet keine IP, aber nslookup funktioniert problemlos. Im Moment ist die Firewall die einzige, die noch IPv6 versteht.