Отключение DES-CBC3-SHA на TLS v1
 

Всем привет!
Как можно отключить на TLSv1 не нужное? Сейчас сканер показывает на контроллере домена на портах LDAP 636 и 3269:

SSL 64-bit Block Size Cipher Suites Supported (SWEET32)
TLSv1
DES-CBC3-SHA
Kx=RSA
Au=RSA
Enc=3DES-CBC(168)
Mac=SHA1

Попробовал:
1. Создать ключ в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168
Ключ Enable RegDword = 0

2. Настроил политику через GPO
Сетевая безопасность: настройка типов шифрования, разрешенных Kerberos
DES_CBC_CRC Отключено
DES_CBC_MD5 Отключено
RC4_HMAC_MD5 Отключено
AES128_HMAC_SHA1 Включено
AES256_HMAC_SHA1 Включено
Будущие типы шифрования Включено

3. Включал/Отключал политику через GPO
Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания

Использовать утилиту IISCrypto как-то боязно, все таки контроллер домена.
Что еще можно попробовать?