Simplemente si el sitio que está publicado está en la carpeta d:\webdomains\caca.com\wwwroot\ la base de datos puedes colocarla un nivel más arriba que la carpeta wwwroot, o en otra ubicación. Así solamente el código ASP podrá leer la base de datos pero desde internet no podrán hacerlo.

Falta que puedas hacer eso en el servidor virtual.

Y aunado a lo que te mencionan Muzztein y sjam7 podrás proteger tu base de datos.