El problema es de lógica. Decís que si la variable session usr es distinto del valor 1, redirija a login.asp y luego de eso (y del Response.End()), le asignás el valor 1... por lo tanto, nunca se lo asignaste realmente y siempre va a entrar en el response.redirect.
la lógica sería esta:

1- página de ingreso de usuario y contraseña
2- página de verificación de datos introducidos
2.1- si los datos son incorrectos, redirigir a login.asp
2.2- si los datos son correctos, asignar variable session con el valor deseado y redirigir a página restringida
3- en PáginaRestringida.asp (y en todas las restringidas), colocar el If(Session("usr")<>"1")Then...