Ваши пользователи никогда не должны посещать физическое местоположение любого из ваших представлений, поэтому защита каталога views\private не будет иметь никакого эффекта. Как упомянул Developer Art, безопасность в приложениях MVC должна осуществляться внутри контроллера с использованием атрибута Authorize . Вы можете применить этот атрибут к классу контроллера или к отдельным методам действия внутри контроллера.
Редактировать: Если вы используете механизм просмотра, который использует файлы так же, как и механизм представления по умолчанию, тогда весь каталог views должен быть защищен, чтобы пользователи не могли получить доступ к любому из этих файлов. (Некоторые механизмы представления компилируют представления в сборку, поэтому это не будет применяться.)