O IIS 7 tem um novo recurso de "filtragem de solicitações". Você provavelmente quer usar a configuração de segmentos ocultos:
<configuration>
<system.webServer>
<security>
<requestFiltering>
<hiddenSegments>
<add segment="BIN"/>
</hiddenSegments>
</requestFiltering>
</security>
</system.webServer>
</configuration>
Isso faz com que o link não seja aceito (mas link ainda funciona)
Confira: link