be, purtroppo dipende da com'è configurato il server.
se il server permette l'utente guest, è giusto che questo valore sia vuoto. probabilmente è così.
allora prova a disabilitare l'utente guest dal webconfig e vediamo che succede:
<authentication mode="Windows" />
<authorization>
<deny users="?" />
</authorization>