No. La querystring te la devi scordare.
In tutte le pagine protette devi fare una cosa del genere:

codice:
<%
if not session("loggato") then response.redirect("logout.asp")
%>
Ed ovviamente quando hai verificato il login avrai fatto:

codice:
session("loggato") = true
se user e password corrispondono.

Roby