Случайно нашел интересный проект на сайте CodePlex - Microsoft Best Practices Analyzer. Судя по интерфейсу это единый движок для различных best practices анализаторов. Данный проект идет только с плагином для анализа ASP.NET проектов на предмет соответствия рекомендуемым настройкам безопасности и производительности. Для анализа указывается путь к файлу machine.config, к корневому файлу web.config и к файлу web.config конкретного приложения. Непонятно только анализирует ли утилита вышерасположенные web.config, если приложение наследует часть настроек из родительского(-их) пприложения.