a ver...

la carpeta lamentablemente tiene que estar habilitada a cualquier usuario que se conecte a tu b de datos, quizas puedas restringirla al IWAN_IUSRMAQUINA que es el mismo que deberia tener si sitio en el IIS ya que el server es el que pide la peticion de la base de datos...aunque nunca lo he probado...

lo otro que podrias hacer es colocarle contraseña a tu base de datos para que la gente que tenga acceso no pueda ver la información...además como regla general lo optimo es que la base de datos no este en el servidor web ya que rompe una de las reglas primarias de seguridad.

hay hartas formas de securitizar tu informacion...todo depende hasta que nivel estes dispuesto a llegar