Может ли обновление безопасности Microsoft внести такие серьезные изменения в конфигурацию IIS?

Недавно я заметил ряд существенных изменений в моей конфигурации IIS, некоторые из которых имеют серьезные последствия. Я просмотрел ежедневные резервные копии и обнаружил, что изменение совпадает с установкой нескольких обновлений безопасности 12 сентября 2014 года.

Изменения далеко не мелкие:

1. В <handlers> элемент был заблокирован; обновление разблокировало его, и теперь любой каталог сайта может иметь файл web.config, который добавляет сопоставления обработчиков.
2. Было добавлено множество сопоставлений обработчиков по умолчанию, которые унаследовали мои сайты. Таким образом, если раньше сайту было запрещено запускать, скажем, файл .aspx, после этого обновления все сайты внезапно получили возможность выполнять файлы .aspx из любого каталога.
3. default.aspx добавлен в список разрешенных документов по умолчанию.

плюс несколько менее значимых, таких как добавление заголовка X-Powered-By на каждый сайт, который я запускаю! А полная разница доступен.

Сравнение последней измененной метки времени applicationHost.config и журнал обновлений, обновление, которое это сделало, либо KB2972211 или KB2894854 (оба имеют одинаковую метку времени установки, поэтому не могу сказать, какая именно). Я подозреваю первое, потому что в описании упоминаются IIS и ASP.NET.

Я относительно новичок в IIS, поэтому у меня есть несколько вопросов по этому поводу:

1. Является ли это нормальным для обновлений безопасности, связанных с IIS, вносить такие серьезные изменения?
2. Был ли это действительно KB2972211, или это могло быть злонамеренное изменение, сделанное кем-то, скрывающим свои следы?
3. Был ли мой IIS неправильно настроен с самого начала? Например. Я удалил сопоставления обработчиков по умолчанию; я был неправ, поступая так, и ожидал, что так и останется?
4. Должны ли мои сайты иметь возможность вносить такие изменения в корневую конфигурацию без нарушения / проблем безопасности?