Non conosco Windows ne IIS, però penso che dovrebbe avere un sistema di protezione delle directory, ti consiglio di usare quel sistema.

Per quanto riguarda l'uso di script, gli stessi possono effettuare una protezione DIRETTA solo se la directory in questione non è leggibile via web, ma lo è via filesystem, per cui il browser non la può raggiungere e lo script si limita, dopo il login, a leggere , via filesystem, il file richiesto e a spedirlo via web.

Gli script che in genere si vedono in giro invece non fanno altro che appoggiarsi al sistema di protezione offerto dai webserver.