Я пытался ответить на это так хорошо, как мог, но предложение:
Как исключить файлы, которые можно просматривать без входа в систему, сохраняя при этом право входа пользователя для просмотра других файлов в той же папке, используя только файл конфигурации.
.. немного сбивает с толку!
Файлы, которые должны быть аутентифицированы, обрабатываются обработчиком asp.net, например .aspx. jpegs и другие статические файлы обходят это, поэтому можно просматривать без аутентификации. Обработчик aspnet_isapi обрабатывает только определенные файлы, но вы можете настроить его для обработки большего количества расширений файлов (или всех файлов), настроив сопоставления расширений в IIS.
Лично я бы поместил все файлы, которые я хотел бы защитить, в папку с разрешениями, чтобы кто-либо мог просматривать эту папку, установил обработчик aspnet_isapi для обработки всех файлов и затем защитил другие ваши папки в соответствии с потребностями вашего приложения. *
В зависимости от того, что вы хотите сделать (поскольку ваш вопрос не очень понятен), вы можете или не сможете достичь того, чего хотите, только из файла конфигурации, но, надеюсь, этот ответ даст вам информацию, которая вам нужна сделайте свои собственные выводы на этот счет.