Ich habe jetzt lange gegoogelt und in irgend einem Englischen Forum gesehen, dass diese Lösung stimmen müsste:

<?xml version="1.0" encoding="utf-8" ?>  
<configuration>  
   <system.web>  
     <authorization>  
       <deny users="*" />  
     </authorization>  
   </system.web>  
 </configuration>