Есть ли способ ограничить неправильные попытки входа в систему и добавить какой-то тайм-аут, чтобы остановить грубую проверку базовой аутентификации с использованием IIS?
Базовая аутентификация IIS6 по умолчанию использует локальную политику входа в систему, поэтому должна применяться любая политика безопасности, установленная на вашем сервере.
Обратите внимание, что базовая аутентификация использует кодировку Base64, которая не шифрование; учетные данные отправляются в виде обычного текста. Если вы храните конфиденциальные данные на своем сервере, вам следует хотя бы использовать SSL / TLS.