Если вы используете IIS 7 в интегрированном конвейере (настройка по умолчанию), все запросы проходят через IIS.Это означает, что вам не нужно ничего делать, кроме как настроить web.config.Вам нужно будет сделать одну маленькую вещь, однако, поместите следующий атрибут в узел modules в system.webServer:
<modules runAllManagedModulesForAllRequests="true" />
Это гарантирует, что модули проверки подлинности форм будут работать для вашего статического содержимого.