起因

之前隔离TIM一直使用的是VMware+RemoteAPP方案，但不知道是因为虚拟化后图形性能太差还是其他原因，RemoteAPP运行的TIM经常会短暂卡死，故开始重新考虑Sandboxie方案。
曾经我就使用过Sandboxie方案，但是当时Sandboxie只能阻止应用修改系统，系统上所有的文件对于沙箱内的应用仍然是可读的，如果使用资源访问控制功能，只能进行全有或全无式的权限控制，条目的匹配优先级也不明确。并且没有（似乎？记不太清了）只写权限选项。
最近发现Sandboxie Plus提供了隐私隔离沙箱，可以解决上方的大部分问题，遂决定重新尝试

已知缺陷

无法防止沙箱内程序对整个屏幕进行截图

选材

我这次选用的是最新版本的TIM3.4.2(22058)，此版本TIM在Sandboxie中可以脱离QQProtect独立运行，省去了许多事情。

准备

为了使用隐私保护沙箱，我购买了Sandboxie Plus PERSONAL-SMALL

1. 先新建一个标准隔离型沙盒Temp1，在沙箱中运行TIM安装包，正常执行安装过程
   此步骤是为了取得完整的TIM文件夹

2. 找到TIM的安装位置，将TIM文件夹完整复制到宿主机的特定文件夹下
   （我将其放在了D:/GreenSoft/TIM下
   

3. 新建数据保护加固型沙盒TIMBOX，设置程序控制-必沙程序
   

文件夹     D:\GreenSoft\TIM    （你宿主机的TIM实际目录）
进程       TIM.exe             （其实可以不用设置，但为了防止有人目录放置错误导致漏沙，故添加此行）

4. 设置资源访问-文件例外规则
   

完全开放            %UserProfile%\Desktop\SBIE              （数据保护沙盒无法直接复制文件，需要在桌面建立一个名为SBIE的共享文件夹方便TIM发送接收文件）
完全开放            %UserProfile%\Documents\Tencent Files   （用户数据文件直接透传，防止沙箱清空/丢失导致的数据丢失）
完全开放            D:\GreenSoft\TIM                        （TIM所在目录，不设置的话TIM无法运行）
仅沙盒内（只写）    C:\Program Files\*                      （可选，防止TIM访问已安装的程序）
仅沙盒内（只写）    C:\Program Files (x86)\*                （同上）

5. 设置资源访问-注册表规则（可选，防止TIM读取已安装应用的注册表信息）

仅沙盒内（只写）    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
仅沙盒内（只写）    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\

6. （重要） 设置资源访问-窗口
   不设置的话TIM的登录窗口无法正常显示

窗口类     TIM.exe         禁止重命名       *

7. （可选）高级选项-隐藏进程
   因为SBIE无法对沙盒内应用隐藏进程列表，只能防止读取，将你不想让TIM扫描到的进程名填入

结语

至于如何运行TIM，取决于你的个人喜好。
你可以直接在宿主机的TIM.exe上新建快捷方式并放到桌面
也可以在TIM运行期间，在SBIE管理器中右键建立快捷方式

只要Sandboxie不出什么问题漏掉必沙程序，两种方法没有什么区别。

最后，祝舞运昌隆。

Sandboxie Plus增强型隐私隔离沙箱入沙TIM记录