Как обеспечить безопасность загрузки с помощью следующей настройки: ubuntu 16.04 с grub2

Проблема: Неподписанные ядра загружаются на машине с защитой UEFI с защитой загрузки

Настройка: OS: Canonical подписан Ubuntu 16.04 GRUB2: Canonical подписан 2.02 ~ beta2-36ubuntu3.17 SHIM: Microsoft подписала, канонические ключи в БД

Обычная безопасная загрузка работает и подтверждается через demsg BOOT_IMAGE log для наблюдения за загрузками изображений ... ... efi.signed и 'sbverify', чтобы проверить, подписано ли это с ключом Canonical.

Я намерен отключить загрузку без знакового ядра на машине UEFI с включенной безопасной загрузкой. Я упомянул № 1401532. и другие ссылки, связанные с проблемой.

Есть ли способ принудительно загружать только подписанную загрузку ядра и блокировать все беззнаковое ядро ​​с текущей настройкой, упомянутой выше? с минимальными изменениями в grub.cfg, любом патче и т. д.

Спасибо, AT