Fija te si en la url que copias hay una serie de caracteres parecido a esto: (S(cl2bhx45ltvamlfgjvoiao55)), no te fijes en las letras y numeros si son iguales, solo si hay algo por el estilo......
Si tenes esto es que estas mostrando el id de la sesion, y por eso puede volver a ingresar copiando la url, esto lo podes ocultar desde el web.config en la opcion cookieless="false":

<sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424" sqlConnectionString="data source=127.0.0.1;user id=sa;password=" cookieless="true" timeout="20"/>

Estoy seguro que estas mostrando el id y por eso el usuario puede ingresar, si no es imposible copiando la url.

PD lo que dice el amigo Pterpay es viable tambien pero solo con un boton y no cubre el cierre del explorador ok.