В консоли управления IIS удалите анонимный доступ для рассматриваемого сайта и включите проверку подлинности Windows. Затем используйте разрешения NTFS для папок / файлов, составляющих сайт. Это определит, к чему у пользователя будет доступ после запроса.