Como prueba, estoy tratando de usar web.config para controlar la seguridad de las siguientes maneras:

Denegar el acceso a todos los archivos en un directorio, excepto a un archivo específicoPermitir el acceso a todos los archivos en un directorio, excepto a un archivo específico

Así que configuré el web.config de la siguiente manera:

<?xml version="1.0" encoding="utf-8"?>
<configuration>

  <!-- Deny access to all files in a directory, except for a specific file -->
  <location path="NonAccessibleDirectory">
    <system.web>
        <authorization>
          <deny users="?"/>
          <deny users="*"/>
        </authorization>
    </system.web>
  </location>

  <location path="NonAccessibleDirectory/AccessibleFile.html">
    <system.web>
        <authorization>
          <allow users="?"/>
          <allow users="*"/>
        </authorization>
    </system.web>
  </location>

  <!-- Allow access to all files in a directory, except for a specific file -->
  <location path="AccessibleDirectory/NonAccessibleFile.html">
    <system.web>
        <authorization>
          <deny users="?"/>
          <deny users="*"/>
        </authorization>
    </system.web>
  </location>

  <system.web>
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5" />
  </system.web>

</configuration>

Como se esperaba:

Si busco en el directorio no accesible y no especifico un archivo, obtengo acceso denegadoSi busco el directorio accesible y no especifico un archivo, puedo ver la lista de archivos

Los problemas que estoy teniendo son:

Si busco en el directorio no accesible y especifico un archivo, puedo verlo y hubiera esperado que no se me otorgara accesoSi busco el directorio accesible y especifico un archivo al que he denegado el acceso a través de web.config, aún puedo verlo y hubiera esperado que no se me otorgara acceso

Amy estoy configurando las cosas mal?