No console de gerenciamento do IIS, remova o Acesso Anônimo para o site em questão e ative a Autenticação do Windows. Em seguida, use as permissões de NTFS nas pastas / arquivos que compõem o site. Isso determinará a que o usuário tem acesso depois de ser desafiado.