Как запретить download файлов, явно указывая путь к файлу, например: http://127.0.0.1/Files/price.zip.
В этом случае выскакивает окно "File download" и браузер позволяет скачать этот файл. Нужно запретить данное действие.

Удалить права на файл для логина под которым IIS работает нельзя.
Не могли бы вы поподробнее рассказать как закрыть доступ к этой папке.

IAmTonik, скачивать когда можно скачивать - отдельный вопрос. Спасибо за ответ, но задача пока в запрете скачивания.

Задача следующая: нужно сделать файловый менеджер (windows проводник), чтобы пользователи могли добавлять/изменять/переименовывать/удалять/скачивать файлы через web интерфейс. Администратор назначает права пользователям на определенный ресурс (папка или файл). Выбирается пользователь, ресурс и заполняются права, только вместо read/write предоставляются права copy/move/delete/upload/dounload.
Если download данному пользователю разрешен, то инициировав download я пихаю этот файл в response(как предложил IAmTonik). Пользователь его скачивает. А если не разрешен, то пользователь никак не должен мочь его получить.

Про аутентификацию: я не использую Forms или Windows аутентификацию и использовать не смогу. Используется собственная наработка.

Если убрать права IIS на доступ к этому файлу, то скачать файл, указанным в заголовке способом, мы не сможем. Зато и не сможем обратиться к нему программно, прочитать и поместить в response - нет прав.

Нашел следующий способ - сопоставление расширений. В настройках сайта указываем, то файлы с расширением .zip будет обрабатывать asp.net. А в настройках папки, где будут лежать файлы указываем: разрешен запуск - ничего. Тогда при обращении будет выдана ошибка, что была предпринята попытка запустить файл из папки, из которой запускать нельзя. Главная цель достигнута.
Но, данное решение громоздкое( указать IIS практически все известные расширения), нерасширяемое да и неправильное, наверно.

Нужно попытаться убрать все Authentication metods в IIS.

Вопрос про секции location в web.config, например:
<location path="Files">
<system.web>
<authorization>
<deny users="*" />
</authorization>
</system.web>
</location>

Или web.config с запретом для всех пользователей в папке, в которой я собираюсь разместить файлы.

Работает ли эта схема без Forms аутентификации. Или схема работает с какой-либо стандартной аутентификацией и только, и в другом случае ей воспользоваться нельзя?