推荐两个很有价值的安全工具

今天看到微软发布了两个与安全有关的非常有价值的工作，下面一一列出。

1. Microsoft Private Folder 1.0

微软刚刚发布了一个个人隐私保护工具Microsoft Private Folder 1.0，它可以帮助用户电脑中建立一个Private Folder并进行密码保护,在其他们用到电脑时,这个工具会帮助保护隐私和文件安全，比起复杂的NTFS、用户帐户权限或加密文件系统（EFS）来说， 这个工具非常方便好用。

从目前了解的内容来看，Private Folder似乎是使用了加密来对文件进行保护，算法未知，但应該是对称算法，密钥来自用户的设置，虽然不如 EFS 那么安全，但是非常适用于共享同一Windows帐户的用户保护自身的文件，在使

用 EFS 时，经常由于证书的问题，会带来一些额外的问题，如证书管理/导入/导出，而使用密码则简化了这些问题。

其缺点是不能将其他任意目录设置为 Private Folder，每个用户只能有一个 Private Folder，而且也只能在用户的主目录下（Documents And Settings/[UserName]/My Private Folder）。注意，下载和安装此工具都需要正版验证。

2. Microsoft Threat Analysis & Modeling v2.0

近几天，微软在安全开发的方面关注非常多，最有名的当属于SDL（安全开发生命周期），其中非常有用的一个安全评估方法论就是威胁建模（Threat Modeling）,它是一套非常完整的方法论，具有完备的文档，已被业界许多公司和专家所采用。

这次微软推出的 Microsoft Threat Analysis & Modeling v2.0 已不仅仅停留在理论层面，而是以工具的形式具体体现的方法论，例如定义系统中的数据、角色、架构特征、系统组件等时，同时在里面已经预定了攻击库（pre -defined attack library），包括SQL、XML、HTTP、网络协议、SOAP等各种技术所面临的特定威胁已经包含在里面。例如，如果你在定义系统组件时，指定你 的系统是基于Web的系统，而且里面有数据库查询，那一定会面临SQL注入式攻击。

当你定义了所有要素之后，Microsoft Threat Analysis & Modeling v2.0 将会产生数据访问控制矩阵，组件访问控制矩阵、受攻击的区域、信任流、调用流程、数据流程等信息，同时将会针对特定的项目团队中的角色（如系统分析、设 计、开发、测试、运行维护等）分别提供不同的报表，以帮助他们关注各身需要解决的重点安全问题。

个人感觉这个工具具有非凡的价值，对于系统安全、应用安全领域的人员来说具有重要的作用，它把可以对纷繁复杂的安全问题进行形式化、数量化、结构化的定义（不知此词的用法是否准确...），并且帮助我们进行风险分析和评估，个人感觉是由算盘的时代进行了计算机时代。

下载：Microsoft Private Folder 1.0
下载：Microsoft Threat Analysis & Modeling v2.0