¿Está bien conceder permiso para IUSR_ a cmd.exe?

En mi opinión, hay dos problemas aquí:

1. Su desarrollador está generando shells directamente para realizar operaciones. Este es un signo de código de baja calidad, una solución poco fiable o que su desarrollador no tenga el tiempo / experiencia suficiente para realizar la operación por sí mismo. Necesitas descubrir cuál es.
2. Permitir que _IUSR acceda a cmd.exe abre algunas posibilidades desagradables para shellcode, en caso de que posteriormente se descubra que su servicio IIS es vulnerable a un error de ejecución remota de código.

Pregúntele exactamente qué está lanzando y pregúntele si puede encontrar una solución. Si está ejecutando algún tipo de tarea externa, ¿por qué no está utilizando la API del Programador de tareas de Windows? en lugar de desovar directamente conchas? Si está utilizando una utilidad existente (por ejemplo, xcopy , ping , etc.) como una solución pirata, debe pedirle que lo haga correctamente y asignarle el tiempo y los recursos apropiados para que lo haga.

Recuerde que un "no" plano es inútil para él como desarrollador. Explica exactamente por qué sería un problema de seguridad. Si es posible, haga una copia de seguridad con algo de su política de seguridad. Trate de ser empático con su situación: los desarrolladores generalmente tienen 6 meses de trabajo por hacer en 6 semanas, por lo que una solución es oro. Si se trata de que no tenga tiempo para hacer el trabajo correctamente, hable con el gerente del proyecto y vea si se puede modificar el alcance.