Si, ho risolto, come ho detto.
Si tratta di intervenire sui verbs dell'IIS;
sulla proprietà della cartella dove sono i files da proteggere e quindi aggiungere nell'elenco dei mapping l'estensione desiderata e la libreria aspnet_isapi.dll (Microsoft.NET\Framework\v2.0.50727\aspnet_isapi.d ll) e poi di aggiungere nel.web.config
codice:
        <httpHandlers>
        <add verb="*" path="*.pdf" type="System.Web.StaticFileHandler" />
        </httpHandlers>
che consente di aprire il file (in questo caso .pdf) desiderato solo se loggati.