Dependiendo de lo que contengan esos archivos .inc, pero en general no te los debería de abrir, sino que te los debería ofrecer para descargar, ya que la extensión .inc no es una que el browser reconozca.

Generalmente uno coloca esos archivos fuera de la raíz del servidor para que no se tengan acceso a ellos desde la barra de direcciones.

En general, si los archivos están dentro de alguna carpeta reconocida por el IIS como ruta de un sitio, es correcta tu observación si alguien supiera el nombre y ruta de dicho archivo, tendría acceso a él, independientemente de que solo quienes han tenido acceso al código fuente o al servidor sabrían de su existencia y localización.

Ahora, eso de que sabes y has comprobado que la ruta y nombre del archivo es correcta y aún así no los descargas, pues lo dudo, necesita constatarlo yo mismo, no hay razón aparente que yo sepa para que no los puedas descargar, a menos, claro, que dichos archivos estén localizados, como ya mencioné, fuera de un sitio web.