Você deve desativar a autenticação anônima para o diretório, se não houver necessidade de usuários anônimos. Isso vai cuidar do problema
Eu realmente espero que isso não seja uma duplicata, mas não consegui encontrar algo assim aqui.
Meu problema é: Eu tenho um subdiretório em um servidor Windows (não tenho certeza se 2008 R2 ou 2012) com o IIS 8.5 que desejo proteger com autenticação básica. Eu conversei com o administrador do servidor e ele ativou a autenticação básica para mim e adicionou um usuário do Windows para mim. A proteção funciona, mas apenas para diretórios, não para arquivos individuais.
Isso leva a situações bizarras como "sub.domain.com/subsubdir/" acessível somente com a combinação correta de usuário / senha, mas "sub.domain.com/subsubdir/index.php" está aberto para todos visitarem e não consigo descobrir o porquê. A maneira que eu implementei isso no web.config é esta:
<location path="dir/subdir">
<system.web>
<authorization>
<allow users="authorizedUser"/>
<deny users ="?" />
</authorization>
</system.web>
</location>
Onde o subdomínio aponta para "dir / subdir", assim "sub.domain.com/subsubdir/" para alcançar o subdiretório.
Eu tentei dir/subdir/ e dir/subdir/* , mas ambos causaram erros. Estou usando as palavras-chave erradas ou o Google não sabe do meu problema.
Eu nem tenho certeza se isso é algo que tenho que corrigir do meu lado (somente acesso via FTP) ou se é alguma configuração do Windows que o administrador precisa alterar. Alguém sabe o que está acontecendo aqui?
Edit: Eu fiquei confuso com meus próprios subdiretórios e esqueci um nível. Não tenho certeza se isso é relevante, mas editei mesmo assim.