La protezione la effettuo intervenendo sull'IIS e quindi nella proprietà della cartella dove risiedono i pdf, impostando l'estensione .pdf;

nel web.config che gestisce il login inserisco:

codice:
        <httpHandlers>
        <add verb="*" path="*.pdf" type="System.Web.StaticFileHandler" />
        </httpHandlers>
che mi permette di visualizzare i pdf solo se loggato.