Ограничение вина и приложений Windows к ~/.wine использующий apparmor

Я пытаюсь записать профиль apparmor для защиты от вредоносного программного обеспечения окон, запущенного через вино. Насколько я понимаю, если вино не выполняется как корень, для приложений Windows не возможно изменить системные файлы, но я хотел бы далее ограничить Windows-программы просто ~/.wine для защиты пользовательских файлов, так, чтобы Windows-программы:

1) Не может быть выполнен, если не помещено в вино c диск

2) Когда выполнено, не видьте или взаимодействуйте с любыми файлами за пределами тех, которые в ~/.wine

Я прочитал эту страницу, и похоже, что раздел о запущении всех программ под винным загрузчиком и профилями wineserver - то, что я ищу, но потому что я не переделал apparmor, прежде чем я хотел бы удостовериться, что это - на самом деле подход, который я должен использовать, и что изменяется, я, возможно, должен был бы сделать к профилю в качестве примера там, чтобы заставить его работать.