Abres un archivo llamado ".htaccess" en la carpeta cursos con el contenido
Deny from all, de esta maneras bloqueas el acceso para cualquier extraño.
Y en el index.php de la carpeta descargas:
Código PHP:
<?php
//acá la comprobación de contraseñas
$archivo = "nombre del archivo que quieres descargar";
header("Content-type: application/octet-stream");
header("Content-Disposition: attachment; filename=\"$archivo\"\n");
$fp=fopen("$archivo", "r");
fpassthru($fp);
?>