Vamos por orden:

Para desconectar gente por limite de tiempo se establece el parametro "session.timeout = N" en la seccion Session_onStart del fichero global.asa.

No hay que ponerlo en ninguna pagina. Es un parametro que afecta a toda la sesion.

Tambien se puede definir en las propiedades de IIS (Directorio Virtual - Configuracion - Opciones). Si lo pones aqui no hace falta lo del global.asa.

Si me mandas una direccion de correo te mando un PDF con ejemplos donde se dice cómo se protege un sitio WEB con usuario y contraseña. No lo pongo aqui porque es un poquito largo.

Saludos
Hooker