Esta é mais uma pergunta do ASP.NET do que uma questão do IIS.
Uma pasta regular não pode ter estado de sessão "definido" (ou seja, InProc, SessionState, SQLServer, cookieless). No entanto, se você marcar uma pasta como um aplicativo, poderá desabilitar o estado da sessão para esse aplicativo. Além disso, você pode desativar o estado da sessão por arquivo, se desejar.
No entanto, o elemento no web.config pode ser definido em qualquer nível e desabilitará completamente o estado da sessão para você. Você pode configurá-lo no web.config nas pastas que você não quiser:
<system.web>
<pages enableSessionState="false" />
</system.web>
Ou você pode defini-lo na raiz para um número de pastas, assim:
<location path="images">
<system.web>
<pages enableSessionState="false" />
</system.web>
</location>
<location path="css">
<system.web>
<pages enableSessionState="false" />
</system.web>
</location>