Suche file system/application isolation, welche auch für .MSI Installer funktioniert

Cortex-A53

Hallo allerseits,

ich suche etwas ähnliches wie Sandboxie.
Sandboxie funktioniert zwar eigentlich relativ gut, bzw. noch, da es nicht so aussieht, wie wenn Sophos/Invincea noch viel Entwicklungsinteresse daran hat. Man kann auch seit Monaten keine Lizenz mehr dafür kaufen, es werde aber daran gearbeitet...

Jedenfalls, mit Windows 10 kann das keine .MSI Installer mehr sandboxen, siehe https://www.sandboxie.com/KnownConflicts#Installing%20programs. Die Problemlösung sieht vor Sandboxie einfach während der Installation nicht zu benutzen. Ja klasse, dann kann ichs mir auch gleich sparen.

Effektiv suche ich also etwas, was folgende Schutzziele erfüllt:

Confidentiality: A sei eine nutzergegebene Menge von Dateipfaden. Für jeden Pfad a in A soll gelten: Der Inode für a wird vollständig auf das Sandbox-Dateisystem umgelegt. Jeder Read-Zugriff, der in a liegt, kann daher ausschließlich die Daten im Sandbox-Dateisystem lesen.
Das wäre das gleiche Feature, wie unter Sandboxie "Resource Access > File access > Write-Only Access"

Integrity: Jeder Write-Zugriff auf eine beliebige Datei x wird gesandboxt. Das heißt, dass der Zustand der Datei x auf dem Host-Dateisystem vor und nach dem Zugriff gleich ist. Der neue Zustand befindet sich im Sandbox-Dateisystem.
Das wäre das Kernfeature von Sandboxie, welches für jede Sandbox an ist.

Ich weiß, dass ich das alles mit Virtualisierung bekommen könnte, aber das ist natürlich mit Kosten im Sinne von Performance (auch wenn mein System VT-x und VT-d kann) und Speicherplatz für die VM und Hypervisor verbunden. Wäre auch einfach umständlicher in der Bedienung. Leider gibts bei Windows soweit ich weiß nichts in Richtung OS level virtualization, (also im Sinne von lxc, Docker, Solaris zones usw.) das wäre zumindest ein bisschen leichtgewichtiger.

Vielleicht hat ja jemand einen Tipp, ich freu mich aber auch über Antworten im Sinne von "da wirst du kein Glück haben".