Вы двигаетесь в верном направлении. Когда я ставил кальку на ноут с AMI биосом у меня было много недоумения и танцев, но я всё таки поставил. Проблема в UEFI Secure boot. Имейте в виду что он включается и выключается после перезагрузки, иногда после нескольких с настойчивым выбором нужных пунктов на синем экране настройки биоса. Это было год назад и частности я уже не помню.
Также, насколько я помню, неоднократно разбирался с хранилищем ключей. Потом потер всё к умолчательным настройкам и снова наполнил нужными - это помогло. Отмечу что удалось найти рабочий режим не сразу - и я его во время установки менял. Вроде бы отключил Secure boot для установки, потерев сначала все ключи. Но имейте в виду - у вас там винда и её ключ, поэтому для вас этот пункт может быть неприемлем. Посмотрю текущие настройки биоса в ближайшие дни.
Подписан подписью майкрософта должен быть загрузчик. Тот что в EFI разделе с именем *.EFI.
FAT драйвер, как я помню, в прошивке биоса.
Можно с ранними версиями винды было вообще забить на винду и оставить только груб2 загрузчик - им уже подхватить винду в загрузку. Или можно - настроить только через UEFI загрузчик - или через винду с утилитой bcdedit или под линуксом - efibootmgr. Где-то была статья… Вот она https://habr.com/ru/post/314412/. Лично я делал и так и так - настройка через bcdedit мне не понравилась, хотя всё работает. Размер раздела EFI должен быть достаточным, где-то читал спеки, потом экспериментировал - по факту рабочие разделы у меня были с почти любыми настройками FAT. Там и размер сектора и размер самого раздела и тип FAT. Там по спекам выставлены более узкие рамки чем работают по факту, но этот факт не везде позитивный. В итоге у меня два основных самодельных варианта осталось - тот как винда хочет и урезанный до предела по размеру чтобы влезли только два ключа. Ещё есть варианты как калька делает сама.
Вот тут кое-что по винде.
Вот сама оболочка EFI.
Вот тут попробуйте выбрать отличный от указанного вариант, может там что-нибудь по типу “Custom” имеется?
Там выбор из Standard и Customized.
Для “Linux” этот предпочтительней.
Наконец-то заглянул в свой биос - у мну эта хрень таки выключена.
[Disabled]
Ноут от Леновы. Биос еёный.
В магазине была включена. Зачем - не знаю - всё равно стоял ДОС. Дома выключил.
Зачем ТАК цепляться за установленную винду?
Переустановить не судьба?
Тот кто Вам её на Гравитон ставил установочный диск (флешку) Вам не передал?
С лицензированным кодом активации.
Или это не совсем Ваш Гравитон и по инструкции на нём ничего кроме виндЫ стоять не должно?
И ещё есть мысля, что в этой вашей винде есть какая-то хрень/прога управляющая секуре-бутом и перезатирающая его на дефолт каждый удобный раз. (паранойя) 
спасибо. а что за хранилище ключей?
кстати, как без установки по-быстрому посмотреть, появилась ли возможность установить загрузчик ?
хочу с разными вариациями настроек биоса проверить, заработает ли установка.
я руководствовался информацией из интернета. к примеру, здесь пишут, что для установки двух систем на одну машину лучше сначала винду поставить, а потом линукс, т.к. последний может сохранить загрузчик винды. а виндовый загрузчик затрёт линуксовый
Гравитон
Это отечественный ноутбук?
____ да, он самый ____
Ой, давно это было и посмотреть никак не вспоминаю вовремя. Напомни мне через четыре - пять часов глянуть настройки у себя. Мысленно напомни, будто телепат - может вспомню.
Ну смотри, прошивка биоса подписана производителем открытым ключом, но пофиг на неё. Важнее то что она содержит модуль проверяющий электронную подпись того “файла” что ей подсунут, ну и естественно его хэш. Сверяет этот модуль подписи с подписями в базах db и dbx. Как-бы базы две, но есть ещё dbt - база временных меток и dbr - резервная, обычно в составе самой прошивки и/или в свободной области ПЗУ. В базе db лежат разрешённые подписи, в базе dbx - запрещённые. Базы не бесконечные и чем они более заполнены - тем дольше модуль по ним ищет… но это тоже не важно сейчас. Прошивка биоса подписана открытым ключом производителем - это так называемый PK - Platform Key. Там может быть сложнее, но не будем об этом. А подписи которыми подписаны всякие загрузчики и драйверы которые ты хочешь загрузить, должны лежать в db, но не в dbx. Для того чтобы внести изменения в db, dbx требуется сообщить модулю открытый ключ KEK - Key Exchange Key. Есть ещё всякие умолчания и прочие исключения и названия могут слегка варьировать - например в майкрософт решили dbr - dbRecovery писать, но это уже частности.
Вводная закончена.
Теперь смотри - если у тебя вообще включен режим загрузки по ключам - Secure boot, и винда загружается успешно - значит подписи от загрузчика винды лежат в db. Если при этом грузиться grub2 никак не хочет - значит его подписи нет в db или есть в dbx. Если db не заполнена до предела - и ты знаешь KEK или если KEK пустой - значит ты можешь в меню UEFI Secure boot выбрать образ с подписью - тот самый BOOT64.EFI или LINUX64.EFI или GRUB64.EFI как его там ни зовут и загрузиться с него. Если подпись в dbx или db заполнен - надо их чистить. Для этого можно или воспользоваться KEK или перейти из режима User Mode в режим Setup Mode. С последним - будьте поосторожнее, только если вы полностью поймете что делаете.
Вообще, насколько помню, я действовал по похожему алгоритму.
Вот от MS по ключам и их суперсекретной загрузке.
Вот процедура проверки подписи в схемах и таблицах.
Вот гораздо более умный человек чем я ведёт статьи по.
Вот хорошая статья описывающая в том числе и переход в Setup Mode.
Alexlton
Спасибо за подробный ответ. Пожалуй, я пока забью на калькулейт 
Так это не калькулейт, а все загрузчики так будут вести себя на вашем ноуте, кроме тех чьи подписи уже в базе.
Выше в посте указана ссылка на алгоритм - там всё просто, по порядку, по пунктам и с картинками.
Впрочем это всегда ваш выбор.
Доброго дня! Была похожая проблема с ноутбуком Леново и убогим биосом(ЕФИ). Пишу по памяти:
По сути ЕФИ(железо) без разницы что лежит на разделе ЕФИ, важно чтобы в NVRAM был указатель на нужный файл. Поэтому очень важно, с кривыми ЕФИ, прописывать через BCDedit или чтото подобное загрузочную запись.
Летом ставил calc на ноут с win11, чтобы выключить secure boot сначала пришлось в win11 отключить шифрование загрузочного раздела.
После этого сделал раздел 200 МВ для UEFI и при установке положил туда загрузчик груба, bios его сам увидел, и я в bios-е указал загружать по умолчанию именно его.
Если понадобится win11, переключаю в bios-е, но надо очень редко, последних раз было 2 месяца назад – обновление BIOS-а для Dell XPS запускается только из-под win, только из-за подобного windows и оставлял.