Como proibir o uso de arquivos web.config?

Encontrou a configuração relevante - ela se chama allowSubDirConfig . Ele pode ser especificado no elemento virtualDirectoryDefaults (para todos os sites) ou no elemento virtualDirectory , no arquivo applicationHost.config .

Exemplo:

<configuration>
    <system.applicationHost>
       <sites>
            <site name="Default Web Site" id="1" serverAutoStart="true">
                <application path="/">
                    <virtualDirectory path="/" physicalPath="%SystemDrive%\inetpub\wwwroot" />
                    <virtualDirectory path="/Temp" physicalPath="C:\TempRoot" allowSubDirConfig="false" />
                </application>
            <applicationDefaults applicationPool="DefaultAppPool" />
            <virtualDirectoryDefaults allowSubDirConfig="true" />
        </sites>
    </system.applicationHost>
</configuration>

web.config arquivos sob / diretório virtual Temp não serão verificados.

Existem outras formas também: link

Veja a resposta de Anil Ruia aqui: link

If you go to applicationhost.config and lock all the sections (overrideModeDefault="Deny"), then IIS manager will write all IIS config settings to applicationhost.config (same for asp.net config setting and root web.config file). Note that this will completely prevent someone from being able to use web.config files to override IIS settings - and they may scream about it.