Seu comentário faz as coisas parecerem mais claras.
802.1X ou IPSEC, implementado usando certificados em cada computador cliente para permitir a autenticação de dispositivos do cliente, vai dar-lhe o ambiente seguro que você deseja. Nada pode ser feito para evitar que dispositivos não autorizados sejam anexados ao meio de rede (com endereços IP ou MAC falsificados, se necessário) se você não estiver realmente autenticando os dispositivos clientes.
Se os usuários puderem manipular fisicamente o dispositivo do cliente (ou seja, tentar retirar o certificado do dispositivo), a autenticação do dispositivo não será boa.
Assumindo, no entanto, que você pode armazenar o certificado do dispositivo em um local razoavelmente à prova de violação que não pode ser acessado de forma prática, pode criar uma situação muito segura em relação a dispositivos não autorizados conectados ao meio de rede e usados para acessar servidores , usando 802.1X ou IPSEC.