En el IIS puedes poner el usuario que quieras (con su correspondiente contraseña). Cuando alguien entre en tu web, se le daran los permisos y privilegios que ese usuario tenga.
Yo te recomendaría que creases un usuario nuevo y le dieses permiso de lectura en las carpetas donde estan tus web, quitandole los permisos en todas las que contengan informacion confidencial o que sean parte del sistema operativo . Tambien es muy recomendable que las carpetas donde están tus web (wwwroot, por defecto), este en una unidad distinta a la que tiene windows (D: por ejemplo), si es posible.
Un saludo