Как я могу остановить грубую силу с основной аутентификацией HTTP IIS6?

Стандартная аутентификация IIS6 значением по умолчанию использует локальную политику входа в систему, таким образом независимо от того, что Ваша политика безопасности установлена на на Вашем сервере, должен применяться.

Обратите внимание на то, что стандартная аутентификация использует кодирование Base64, которое не является шифрованием; учетные данные отправляются простой текст. При корпусе уязвимых данных на сервере необходимо, по крайней мере, использовать SSL/TLS.