Знаки процента используются в кодировке URL и могут использоваться для выражения неприятных символов, таких как кавычки. Это отклонение может быть связано с тем, что NormalizeUrlBeforeScan включен или выключен, я бы попробовал изменить этот параметр.
UrlScan не очень хороший WAF, и вполне вероятно, что у вас возникнут проблемы с другими ложными срабатываниями / ложными отрицаниями. Mod_Security более зрелый и может использоваться с IIS, однако он включает в себя запуск обратного прокси-сервера, который, честно говоря, немного беспорядок, но ИМХО это лучше, чем UrlScan.
Если у вас есть запасные золотые кирпичи, вы должны взять Cisco ACE , это хороший WAF.