Primero tienes que comprobar que el usuario sea de la bd y la contraseña coincida, si se da ese caso tu haces redireccionamiento a menu.asp no? pues bien, todo esto ke tienes y todos los redireccionamientos que quieras hacer segun coincida o no debes hacerlos antes de la etiketa <HTML>, te kedaria algo así:

<%'eliminamos las posibles comillas de la entrada
'para evitar la introducción de sentencias SQL
usuario=replace(request.form("txt_usuario"),"'","" )
password=replace(request.form("txt_clave"),"'","")

Set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open("DRIVER={Microsoft Access Driver (*.mdb)}; DBQ=" & Server.MapPath("db/files.mdb"))
set rs = CreateObject("ADODB.Recordset")
sqltxt="Select * from tbl_usuarios where Usuario='"&usuario&"' and Clave= '"&password&"'"
response.write sqltxt
rs.Open sqltxt, conn

if not rs.eof then
' nos ha devuelto un registro, ahora miraremos si es valido
' con ello evitamos el ataque típico SQL
if rs("Usuario")=usuario and rs("Clave")=password then
' si el usuario esta en la base de datos y la password coincide
session("autorizacion")=1
session("usuario") = usuario
response.Write("OK!!")
response.redirect "menu.asp"
end if
else

session("autorizacion")=-1
end if

'Cierro las conexiones
rs.close
set rs=nothing
conn.close
set conn=nothing

if session("autorizacion")=-1 or session("autorizacion")="" then
' no hemos encontrado el registro
' eso indica que el usuario y/o la password son erroneos
Response.Write("Error")
response.redirect "login.asp?msg=Usuario%20o%20password%20incorrecta "
end if
%>

y aki meterias ya todo el codigo html que desees...

<HTML>
etc etc etc
</HTML>

Espero que te sirva la ayuda