И чем я раньше думал??
Все просто: внутри песочницы нужно блокировать доступ к guard64.dll, а не только к guard32.dll. Указал это в рекомендациях по настройке CIS и Sandboxie, а заодно переделал их на более универсальный и тихий вариант.
На самом деле, грамотнее было бы менять не настройку песочницы, а ini-файл Sandboxie, но я не могу понять, как это делается. Сформулировал вопрос на ру-борде — кто в курсе, подскажите, пожалуйста.
аналогичный коммент на comss.ru