boh.. forse sbaglio io qlcosa..
adesso ho cambiato, ho tolto "allow anonymous access" da IIS e ho messo Integrated Windows Authentication

Sulla cartella, sono andato un Sharing, cliccato su Permission ho tolto tutti gli utenti che c'erano e messo solo l'utente che mi interessa, gli ho dato i permessi in read.

Ora, se apro il browser digito l'indirizzo di un file contenuto nella cartella, mi appare il form di login, ma basta che io inserisca username e password di un qualsiasi utente che esista, ad esempio gigi, che viene accettato ed ha la possibilità di vedere la pagina!

dov'è che sbaglio uffa!!

tnx!