微软威胁建模工具（MTMT）保姆级上手教程：从零开始画你的第一张安全架构图

微软威胁建模工具（MTMT）保姆级上手教程：从零开始画你的第一张安全架构图

第一次打开Microsoft Threat Modeling Tool（MTMT）时，面对满屏的专业术语和复杂界面，很多人会感到无从下手。本文将从一个完全不懂威胁建模的新手视角出发，手把手教你如何为一个简单的用户登录模块创建第一个威胁模型。我们会从模板选择开始，一步步完成元素绘制、数据流连接，直到生成第一份威胁报告。

1. 工具准备与模板选择

在开始绘制之前，首先需要下载并安装MTMT。微软官方提供了免费的最新版本下载，安装过程与常规Windows软件无异。安装完成后首次启动，你会看到一个包含多个选项的启动界面。

对于初学者来说，最关键的第一步是选择合适的模板。MTMT提供了几种预设模板：

• SDL TM Knowledge Base (Core)：通用型模板，适合大多数传统应用程序
• Azure Threat Model Template：专为Azure云服务设计
• Medical Device Model：医疗设备专用模板

提示：如果只是学习基础操作，建议选择SDL TM Knowledge Base模板，它的元素和威胁库最为全面。

选择模板后点击"Create A Model"，进入主工作区。这里主要分为三个区域：

1. 左侧面板：包含所有可用的建模元素（Stencil）
2. 中央画布：用于绘制架构图
3. 右侧面板：用于配置元素属性和查看分析结果

2. 绘制用户登录模块的基本架构

让我们以一个典型的Web应用用户登录模块为例。这个模块通常包含以下组件：

1. 用户浏览器
2. Web服务器
3. 认证服务
4. 用户数据库

在左侧面板中，找到并拖拽以下元素到画布上：

• 外部交互者：代表终端用户
• Web服务器：处理HTTP请求
• 进程：用于认证逻辑
• 数据存储：保存用户凭证

用"Data Flow"连接线将这些元素按照实际数据流向连接起来：

用户 → (提交凭证) → Web服务器 → (验证请求) → 认证服务 → (查询) → 用户数据库

注意：每个数据流都应该有明确的标签说明传输的内容，如"用户名/密码"、"认证令牌"等。

3. 元素属性配置

仅仅画出架构图还不够，我们需要为每个元素配置详细的属性：

1. 点击Web服务器元素，在右侧属性面板中：

   • 名称：Login Web Server
   • 技术：IIS 10.0
   • 是否公开：是

2. 点击认证服务进程：

   • 名称：Authentication Service
   • 技术：.NET Core 3.1
   • 权限级别：高

3. 点击用户数据库：

   • 名称：User Credential Store
   • 技术：SQL Server 2019
   • 加密状态：静态数据加密启用

这些属性将直接影响后续的威胁分析结果，因此务必准确填写。

4. 执行威胁分析

完成架构绘制后，点击顶部菜单栏的"Analyze Model"按钮，MTMT会自动基于STRIDE模型进行分析：

• Spoofing（伪装）
• Tampering（篡改）
• Repudiation（抵赖）
• Information Disclosure（信息泄露）
• Denial of Service（拒绝服务）
• Elevation of Privilege（权限提升）

分析完成后，右侧面板会列出所有发现的潜在威胁。例如：

5. 制定缓解措施

针对每个威胁，MTMT会提供相应的缓解建议。以"凭证以明文传输"为例：

建议措施：

1. 实施HTTPS加密传输
2. 使用HSTS头部防止降级攻击
3. 考虑添加二次认证因素

点击每个建议旁边的"Apply"按钮，工具会自动记录这些措施，并标记对应威胁的状态为"Mitigated"。

6. 生成报告与后续步骤

完成所有威胁分析和缓解措施制定后，可以通过"Reports"菜单生成详细报告。MTMT提供多种报告格式：

• 系统架构图：PNG或SVG格式
• 威胁分析摘要：PDF文档
• 完整威胁清单：Excel表格

报告生成后，建议与开发团队和安全团队共享，将这些安全考量纳入实际开发流程。对于初学者来说，完成第一个简单模型后，可以尝试以下进阶练习：

1. 为模型添加更多组件（如日志系统、缓存服务）
2. 尝试不同的模板（如Azure特定场景）
3. 自定义威胁库添加组织特定的威胁类型

记住，威胁建模是一个迭代过程。随着系统演进，应该定期更新模型并重新分析。刚开始可能会觉得步骤繁琐，但经过3-5个模型的练习后，整个过程会变得自然而高效。