Consegui proteger o subdomínio criando um arquivo web.config separado que reside na raiz da Web do subdomínio (que existe fisicamente como um subdiretório no domínio raiz). Presumo que esta solução funcionaria para subdomínios, bem como subdiretórios básicos de um domínio.
Dentro do arquivo web.config, adicionei o seguinte. Eu removi as diretivas estranhas / não relacionadas removidas para maior clareza, mas queria mostrar a estrutura xml completa do arquivo web.config:
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<security>
<authentication>
<anonymousAuthentication enabled="false" />
<basicAuthentication enabled="true" />
</authentication>
</security>
</system.webServer>
</configuration>
A parte importante foi adicionar as duas diretivas de autenticação dentro da seção de autenticação (que reside na configuração > system.webServer > security).
Observe que esse método exige que eu use o login principal do "servidor" fornecido pelo serviço de hospedagem, e não consegui especificar manualmente um nome de usuário e senha a serem usados.
Se você precisar proteger rapidamente um subdiretório ou subdomínio em um servidor IIS7, isso deve funcionar. Acredito que as credenciais que você precisa usar são aquelas que você usa para acessar o servidor FTP, embora eu não tenha certeza se elas são iguais às credenciais do "painel de controle de hospedagem" para todos ou apenas para meu host.