Если софтвенный метод не помогает (а он не помогает), а железный невозможен, остается один путь - административный. Надо разработать приказ, положение, другой документ, в котором будет прописана ответственность за подобную самодеятельность. Утвердить его (документ) руководством и под роспись ознакомить сотрудников.
Подмена IP и MAC очевидно приведет к коллизиям в сети (если оба компа запущены одновременно), либо к несоответствию времени работы компьютера -жертвы и времени активности присвоенного ему адреса. (если адреса подменяются когда настоящий их хозяин не работает) Вот к стати еще один метод выявления безобразий, который можно покопать. Ну и вариант, если злоумышленник поменяет адреса на своем компе и компе жертвы одновременно - рано или поздно жертва пожалуется, что интернет стал какой-то медленный. Тут-то вы и примените административные меры.