A autenticação básica do IIS6, por padrão, usa a diretiva de login local, portanto, seja qual for a política de segurança definida no servidor, é necessário aplicá-la.
Por favor, note que a autenticação básica usa codificação Base64, que é não criptografia; credenciais são enviadas texto simples. Se você hospeda dados confidenciais em seu servidor, você deve pelo menos usar SSL / TLS.