по идее правильнее будет настроить ч/з web.config при <authentication mode="Forms" />. Посмотри об этом методу аутентификации в докум. и обрати внимание на тэг deny. По-моему это решит твою проблему.

вообще там можно поставить deny="?" ,кажется так, и тогда твои страницы не смогут смотреть анонимные юзеры.
повторюсь ещё раз - почитай подробнее в документации. это один из основных способов аутентификации, у мс подробно расписанное. да и вкнижках по асп.нет тоже.