soweit ich weiß, nimmt der Apache unter Windows nur Klartextpasswörter.
Ich habe die folgende Seite nur auf die Schnnelle gefunden, aber was mir vorschwebt ist, dass in der .htaccess oder der httpd.conf sowas wie
order deny,allow
deny from
stehen muss, zumindest im Apache 2.2