Из документации IIS7 есть 3 тега, которые вы можете использовать в <requestFiltering> для управления доступом к URL:
<denyUrlSequences> - этот элемент может содержать коллекциюшаблонов последовательности URL, которые IIS 7 будет отрицать;например: вы можете запретить части последовательностей URL-адресов, которые злоумышленник может попытаться использовать. <fileExtensions> - этот элемент может содержать набор расширений имен файлов, которые IIS 7 будет либо запрещать, либо разрешать;например: вы можете заблокировать все запросы на файлы Web.config. <hiddenSegments> - этот элемент может содержать набор URL-адресов, которые невозможно просмотреть;Например: вы можете отклонить запросы для папки ASP.NET App_Code.
Например:
<requestFiltering>
<!-- deny access to any URL which contains /private -->
<denyUrlSequences>
<add sequence="/private"/>
</denyUrlSequences>
<!-- block all file extensions except js,css,html -->
<fileExtensions allowUnlisted="false">
<add fileExtension=".js" allowed="true" />
<add fileExtension=".css" allowed="true" />
<add fileExtension=".html" allowed="true" />
</fileExtensions>
<!-- hide config and bin dir -->
<hiddenSegments>
<add segment="config" />
<add segment="bin" />
</hiddenSegments>
</requestFiltering>
Вы можете скрыть некоторые URL-адреса или заблокировать некоторые расширения файлов, но, насколько я могу судить, невозможно точно настроитьдоступность определенных расширений файлов по папкам, просто меняя конфигурацию IIS.Если это то, что вам нужно, вам, вероятно, потребуется написать некоторый код на стороне сервера.