Hi ha coses que un website no vol que el IIS serveixi cap als clients via HTTP. Però a nivell de programació es vol que els ASPX, ASHX del servidor sí accedeixin. Aleshores una forma fàcil de fer-ho és aquesta. S'exclou una carpeta i a dins es posa el contingut que no es vol servir.

<configuration>
   <system.webServer>
       <security>
          <requestFiltering>
               <hiddenSegments>
                   <add segment="My_Directory" />
               </hiddenSegments>
           </requestFiltering>
       </security>
   </system.webServer>
</configuration>

Fàcil, fàcil.