Для отключения метода TRACE HTTP в IIS можно использовать следующий конфигурационный файл web.config:
```xml
<configuration>
<system.webServer>
<security>
<requestFiltering>
<verbs allowUnlisted="false">
<add verb="TRACE" allowed="false" />
</verbs>
</requestFiltering>
</security>
</system.webServer>
</configuration>
```
Этот конфигурационный файл запрещает использование метода TRACE для всех запросов к серверу. После внесения изменений в конфигурационный файл, необходимо перезагрузить IIS для применения настроек.
Если вы все еще обнаруживаете возможность использования метода TRACE через инструменты типа nmap и Nessus, можно попробовать также добавить следующее правило в файл web.config:
```xml
<system.webServer>
<httpProtocol>
<customHeaders>
<remove name="X-Powered-By" />
</customHeaders>
</httpProtocol>
</system.webServer>
```
Это правило удаляет заголовок "X-Powered-By" из ответа сервера, что может помочь в обходе обнаружения метода TRACE с помощью указанных инструментов.
И не забудьте перезагрузить IIS после внесения изменений.