Para citar os documentos , o atributo overrideModeDefault="Deny" é geralmente usado para negar alterações nas configurações que:
are related to any performance, security or critical aspect of the server ... [snipped] ... If the overrideModeDefault attribute is set to "Deny", then any configuration files at a lower level (i.e. web.config files) [my emphasis]
Mesmo em um ambiente em que seu servidor (voltado para o público) é dedicado a executar seus próprios aplicativos, geralmente é recomendável não permitir alterações nessas configurações. O motivo é que, se o seu site for invadido, ele não poderá ser mais subvertido, permitindo que invasores adicionem seus próprios filtros ISAPI ou mexerem com outras configurações críticas no arquivo web.config do site.
Outra razão é quando você tem desenvolvedores (que não são administradores de servidor) que podem não entender as implicações da substituição casualmente de uma configuração para que algo funcione no web.config de um site, o que pode afetar o desempenho geral e a segurança do servidor.
Se você tem controle total sobre o servidor, ainda é melhor manter essas alterações restritas a applicationHost.config , em vez de permitir que sejam definidas aleatoriamente no site web.config files. A equipe de administração do servidor torna-se então o guardião de todas as alterações que possam precisar ser aplicadas a um site específico.