pues el response redirect se pone a la pagina que quieras de inicio dentro de tu directorio protegido, si no le pones esto por dafault va a mostrar una pagina llamada index o algo asi la puedes condigurar pero no cambiar el nombre asi que se pone el response para que te redireccione a la pagina que quieres..

ahora en cuanto a lo de crear un directorio como aplicacion que es como se trabaja este metodo pues panel de control--- erramientas administrativas--- adminisitracion de servicios de internet IIS lo habres y en tu sitio determinado bucas la carpeta o subcarpet que quieres que corra la aplicacion de autentificacion, uan vez que escogiste la que quieres le das propiedad des y en la pestana DIRECTORIO, buscas CONFIGURACION DE APLICACION y donde dice nombre de la aplicacion le das crear y te mostrara por default la carpeta que quieres porteger

ojo si esta caperta tiene subcarpetas, todas estas tambien estaran protegidas
...

pero ojo.. yo estudio seguridad en computo y por ahi anda un bug para burlar este metodo en base a una falla no hay un exploit para esto, pero si esta en investigacion y algunos juankers andan en busca de desarrollar esto ,

asi que informate de este bug yo lo publique en este foro y nadie me peloooo , ok cuando les juanken sus aplicaciones no lloren

chauu