Pode haver outra maneira, mas você pode simplesmente
- criar um usuário local no Windows,
- adicione-os a um grupo de usuários local,
- remova o acesso anônimo para a pasta que contém o site e o
- alterar permissões de arquivo para permitir acesso apenas a membros do grupo de usuários local
Para a lista de permissões de IP, parece não haver uma maneira de substituir a autenticação básica pelo endereço IP.
É um pouco desajeitado, mas você pode apontar um site virtual separado para o mesmo diretório e bloqueá-lo em nada além do IP local. Talvez use o cabeçalho do host para selecionar o novo site